RU2789810C1 - Method for protection of computer networks - Google Patents
Method for protection of computer networks Download PDFInfo
- Publication number
- RU2789810C1 RU2789810C1 RU2022116211A RU2022116211A RU2789810C1 RU 2789810 C1 RU2789810 C1 RU 2789810C1 RU 2022116211 A RU2022116211 A RU 2022116211A RU 2022116211 A RU2022116211 A RU 2022116211A RU 2789810 C1 RU2789810 C1 RU 2789810C1
- Authority
- RU
- Russia
- Prior art keywords
- network
- subnet
- addresses
- network devices
- parameters
- Prior art date
Links
Images
Abstract
Description
Изобретение относится к электросвязи и может быть использовано в системах обнаружения атак с целью оперативного выявления и противодействия несанкционированным воздействиям в вычислительных сетях, в частности, в сети передачи данных типа «Internet», основанных на семействе коммуникационных протоколов TCP/IP (Transmission Control Protocol / Internet Protocol).The invention relates to telecommunications and can be used in intrusion detection systems for the purpose of prompt detection and counteraction to unauthorized influences in computer networks, in particular, in an Internet-type data transmission network based on the TCP/IP family of communication protocols (Transmission Control Protocol / Internet protocol).
Известен «Способ и устройство для анонимного обмена данными с использованием сети с динамически изменяемым адресным пространством» по патенту США № US20120117376A1, класс H04L 29/06 (2006.01), опубл. 04.05.2012. Известный способ включает следующую последовательность действий. На сетевых устройствах вычислительной сети устанавливают специальное программное обеспечение, принимают входящие пакеты сообщений, считывают значения служебных полей протокола, затем формируют свой собственный специальный протокол. Принцип работы сформированного специального протокола основан на изменении сетевого адреса и полей протокола через заданные интервалы времени. После формирования специального протокола, параметры доставки пакетов сообщений, например, такие как IP-адрес, сопоставляют с конечными узлами в сети. Конечные узлы представляют собой сетевые устройства получатель/отправитель пакетов, расположенные в сети. Узлы, участвующие в процессе, имеют средства для синхронизации изменений изменяемых параметров, доставки их по сети и способны полностью обмениваться данными друг с другом. Периодическое изменение параметров доставки с течением времени в итоге приводит к запутыванию информации об активных сетевых узлах или сетевых службах вычислительной сети. Таким образом, нарушитель, сканирующий вычислительную сеть, сталкивается с множеством динамических параметров, которые понятны только участвующим в информационном обмене сетевым узлам. Конфигурирование специального программного обеспечения может быть реализовано одним из трех типов управления: по времени (синхронная), по факту сканирования, постоянная на всех без исключения пакетах/кадрах.Known "Method and device for anonymous data exchange using a network with dynamically changing address space" according to US patent No. US20120117376A1,
Недостатком данного способа является относительно низкая результативность защиты вычислительных сетей. Низкая результативность защиты обусловлена тем, что в аналоге скорость информационного обмена между отправителем и получателем пакетов сообщений снижается ввиду установленного дополнительного специального программного обеспечения, расходующего ресурсы сети на преобразование исходящих пакетов в свой собственный протокол, что в свою очередь снижает доступность информационных ресурсов сети клиентам и может привести к перегрузке вычислительной сети.The disadvantage of this method is the relatively low effectiveness of the protection of computer networks. The low effectiveness of protection is due to the fact that in the analogue the speed of information exchange between the sender and recipient of message packets is reduced due to the installed additional special software that consumes network resources to convert outgoing packets into its own protocol, which in turn reduces the availability of network information resources to clients and can lead to network overload.
Известен способ защиты вычислительных сетей, описанный в статье Antonatos S., Akritidis P., Markatos E., Anagnostakis K. Defending against Hitlist Worms using Network Address Space Randomization 2005 ACM Workshop on Rapid Malcode, Fairfax, VA, USA, на стр. 30-40. Известный способ включает следующую последовательность действий. Подключают сетевые устройства к вычислительной сети. DHCP-сервером задают для сетевых устройств вычислительной сети, от которых поступили запросы, параметры синхронизации установленного часового пояса, времени продолжительности аренды tap и IP-адреса. После этого устанавливают сетевые соединения между сетевыми устройствами сети. По окончании времени продолжительности аренды IP-адресов tap формируют на DHCP-сервере в случайном порядке новые IP-адреса в текущей подсети и другие сетевые параметры для каждого из сетевых устройств вычислительной сети. Для сетевых устройств, между которыми не установлено критическое соединение задают новые IP-адреса, на которые они переходят по истечении времени аренды tap, а для сетевых устройств, между которыми установлено критическое соединение продлевают аренду IP-адресов на такое же время tap, до конца активности соединения, после чего сетевые устройства переходят на новые IP-адреса в текущей подсети. Очередной переход на новые IP-адреса осуществляется по истечении времени tap.There is a known method for protecting computer networks, described in the article Antonatos S., Akritidis P., Markatos E., Anagnostakis K. Defending against Hitlist Worms using Network Address Space Randomization 2005 ACM Workshop on Rapid Malcode, Fairfax, VA, USA, on page 30 -40. The known method includes the following sequence of actions. Connect network devices to a computer network. The DHCP server sets for the network devices of the computer network from which the requests were received, the synchronization parameters of the set time zone, the lease duration time t ap and the IP address. After that, network connections are established between the network devices of the network. At the end of the IP address lease duration time t ap , new IP addresses in the current subnet and other network parameters are randomly generated on the DHCP server for each of the network devices of the computer network. For network devices between which a critical connection is not established, new IP addresses are set, to which they switch after the lease time t ap , and for network devices between which a critical connection is established, the lease of IP addresses is extended for the same time t ap , up to the end of connection activity, after which network devices move to new IP addresses in the current subnet. The next transition to new IP addresses is carried out after the time t ap .
Недостатком данного способа является его относительно узкая область применения, относительно низкая результативность и относительно высокая ресурсоемкость защиты. Узкая область применения обусловлена тем, что происходит разрыв критически важных активных соединений между сетевыми устройствами, а также тем, что изменение IP-адресов узлов защищаемой вычислительной сети происходит в рамках одной подсети, что накладывает ограничение на используемый диапазон перестройки параметров защищаемой вычислительной сети, состоящей из относительно большого количества IP-адресов узлов. Это может привести к возможности вычисления нарушителем алгоритма перестройки IP-адресов узлов защищаемой вычислительной сети и принятию им мер по обходу системы защиты. Относительно низкая результативность связана с изменением IP-адресов узлов защищаемой вычислительной сети через фиксированный промежуток времени tap вне зависимости от условий функционирования и действий нарушителя. Это может привести к несвоевременному переводу вычислительной сети в заранее определенную конфигурацию, влекущему за собой пропуск несанкционированного воздействия или ложное срабатывание системы защиты. Относительно высокая ресурсоемкость способа-прототипа связана с возможностью его ложного срабатывания, что может привести к необоснованному увеличению вычислительного ресурса на изменение конфигурации параметров вычислительной сети.The disadvantage of this method is its relatively narrow scope, relatively low efficiency and relatively high resource intensity of protection. The narrow scope is due to the fact that there is a break in critically important active connections between network devices, as well as the fact that the change of the IP addresses of the nodes of the protected computer network occurs within the same subnet, which imposes a restriction on the used range of restructuring the parameters of the protected computer network, consisting of relatively large number of host IP addresses. This can lead to the possibility of the violator calculating the algorithm for restructuring the IP addresses of the nodes of the protected computer network and taking measures to bypass the protection system. Relatively low efficiency is associated with a change in the IP addresses of the nodes of the protected computer network after a fixed period of time t ap , regardless of the operating conditions and actions of the intruder. This can lead to an untimely transfer of the computer network to a predetermined configuration, resulting in the omission of unauthorized action or a false operation of the protection system. The relatively high resource intensity of the prototype method is associated with the possibility of its false positives, which can lead to an unreasonable increase in the computing resource for changing the configuration of the computer network parameters.
Наиболее близким по своей технической сущности к заявленному, способом-прототипом является «Способ защиты вычислительных сетей» по патенту РФ №2716220 МПК G06F 21/60, H04L 29/06 опубл. 06.03.2020 г. Известный способ включает следующую последовательность действий. Подключают сетевые устройства к вычислительной сети. Формируют DHCP-сервером для сетевых устройств вычислительной сети параметры синхронизации установленного часового пояса и времени, назначенные IP-адреса и время их аренды, номер подсети. После этого направляют с DHCP-сервера сформированные ответные сообщения сетевым устройствам вычислительной сети. Далее принимают каждым сетевым устройством вычислительной сети сообщения от DHCP-сервера и задают сетевым устройствам вычислительной сети параметры синхронизации установленного часового пояса и времени, назначенные IP-адреса и время их аренды, номер подсети. Затем устанавливают сетевые соединения между сетевыми устройствами вычислительной сети. После приема из канала связи пакета сообщения, выделяют из заголовка принятого пакета сообщения идентификатор информационного потока. Далее сравнивают его с идентификаторами санкционированных информационных потоков и при совпадении выделенного идентификатора информационного потока с идентификаторами санкционированных информационных потоков передают пакет сообщений получателю и принимают из канала связи следующий пакет сообщения. При несовпадении выделенного идентификатора с идентификаторами санкционированных информационных потоков, сравнивают IP-адрес получателя в принятом пакете сообщений с предварительно заданными ложными IP-адресами абонентов вычислительной сети. В случае несовпадения IP-адреса получателя в принятом пакете сообщений с предварительно заданными ложными IP-адресами абонентов, игнорируют пакет сообщений, а при совпадении IP-адреса получателя в принятом пакете сообщений с предварительно заданными ложными IP-адресами абонентов, сравнивают IP-адрес отправителя пакетов сообщений с каждым IP-адресом сетевого устройства вычислительной сети. В случае их совпадения блокируют IP-адрес отправителя пакетов сообщений. В ином случае формируют ответные сообщения от DHCP-сервера, содержащие новый номер подсети, IP-адреса сетевых устройств для новой подсети, их время продолжительности аренды для новой подсети, следующий номер подсети, IP-адрес DHCP-сервера, параметры синхронизации установленного часового пояса и времени. Далее, после направления с DHCP-сервера сетевым устройствам вычислительной сети ответных сообщений, содержащих вышеперечисленные сетевые параметры принимают эти сообщения каждым сетевым устройством вычислительной сети. После этого задают каждому сетевому устройству вычислительной сети полученные параметры для функционирования в новой подсети.The closest in its technical essence to the claimed, the prototype method is the "Method of protecting computer networks" according to the patent of the Russian Federation No. 2716220 IPC G06F 21/60,
Недостатком способа-прототипа является его относительно низкая результативность защиты, обусловленная высокими возможностями нарушителя по обнаружению факта использования средств защиты вычислительной сети и идентификации их характеристик. Это обусловлено тем, что после синхронного изменения сетевых параметров устройств исходной подсети на сетевые параметры в новой подсети, в исходной подсети, где ранее был организован сетевой информационный обмен, таковой будет отсутствовать и не останется активных IP-адресов сетевых устройств. Данное обстоятельство может привести к компрометации используемых средств защиты и идентификации их характеристик в случае перехвата сетевого трафика или сетевого сканирования вычислительной сети нарушителем, а также к изменению нарушителем стратегии вредоносного воздействия.The disadvantage of the prototype method is its relatively low protection efficiency, due to the high capabilities of the intruder to detect the use of computer network protection tools and identify their characteristics. This is due to the fact that after a synchronous change in the network parameters of the devices of the source subnet to the network parameters in the new subnet, in the source subnet, where network information exchange was previously organized, there will be no such network and there will be no active IP addresses of network devices. This circumstance can lead to the compromise of the protection means used and the identification of their characteristics in the event of interception of network traffic or network scanning of the computer network by the intruder, as well as to the change by the intruder of the malicious impact strategy.
Целью заявленного технического решения является разработка способа защиты вычислительных сетей, обеспечивающего повышение результативности защиты за счет снижения возможностей нарушителя по компрометации средств защиты и его введения в заблуждение. Это достигается формированием ложного сетевого трафика в исходной подсети после изменения текущих параметров сетевых устройств на новые параметры в новой подсети.The purpose of the claimed technical solution is to develop a method for protecting computer networks, providing an increase in the effectiveness of protection by reducing the ability of the intruder to compromise the means of protection and mislead him. This is achieved by generating false network traffic on the original subnet after changing the current settings of network devices to new settings on the new subnet.
Поставленная цель достигается тем, что в известном способе защиты вычислительных сетей предварительно задают IP=[IP1, IP2 … IPn} множество IP-адресов сетевых устройств вычислительной сети, являющихся DHCP-клиентами DHCP-сервера, где n - максимальное допустимое значение количества IP-адресов сетевых устройств вычислительной сети. Затем предварительно задают подмножества d во множестве IP-адресов сетевых устройств вычислительной сети , где d - номер подсети DHCP-сервера, d=1, 2 … z, где z - максимальное количество подсетей. Далее для каждого подмножества d задают IP-адреса DHCP-серверов , где - IP-адрес DHCP-сервера, . После этого предварительно задают массив памяти D=[1, 2, …, z] для хранения номеров подсетей DHCP-сервера и td max - максимальное значение времени аренды всех IP-адресов подсети с номером d. Далее задают С={CIP1, CIP2 … CIPm} множество соединений между сетевыми устройствами вычислительной сети, где CIPm - идентификатор соединения между сетевыми устройствами вычислительной сети, который содержит в себе IP-адрес отправителя с, и получателя b, тип протокола взаимодействия, порты взаимодействия, где m - максимальное допустимое количество соединений между сетевыми устройствами вычислительной сети. После этого предварительно задают массив памяти Ci=[CIP1, CIP2 … CIPm] для хранения идентификаторов CIPm и множество идентификаторов санкционированных информационных потоков TS≥1. Затем предварительно задают MAC={MAC1, МАС2 … MACl} множество МАС-адресов сетевых устройств вычислительной сети, где l - максимальное количество сетевых устройств в вычислительной сети. Далее задают массив памяти NA для хранения матрицы соответствия n-му IP-адресу сетевого устройства из множества IP-адресов l-го МАС-адреса из массива памяти MAC. Затем задают - множество IP-адресов ложных абонентов подсети d, где ƒ - максимальное допустимое количество IP-адресов сетевых устройств подсети d. После этого подключают сетевые устройства к вычислительной сети. Далее направляют с сетевых устройств вычислительной сети сообщения DHCP-серверу для получения параметров синхронизации установленного часового пояса и времени, номера подсети d, IP-адресов IPd и времени их аренды, IP-адреса DHCP-сервера . Затем принимают DHCP-сервером сообщения от сетевых устройств вычислительной сети. После этого формируют для сетевых устройств сообщения, содержащие параметры синхронизации установленного часового пояса и времени, назначенные номер подсети d, IP-адреса IPd и время их аренды, IP-адрес DHCP-сервера . Затем направляют сформированные сообщения сетевым устройствам вычислительной сети. Далее принимают каждым сетевым устройством вычислительной сети сообщение от DHCP-сервера. После этого направляют от сетевых устройств вычислительной сети ответные сообщения DHCP-серверу, подтверждающие его выбор. Затем принимают DHCP-сервером сообщения от сетевых устройств вычислительной сети, подтверждающие его выбор. После этого задают сетевым устройством вычислительной сети параметры синхронизации установленного часового пояса и времени, назначенные номер подсети d, IP-адреса IPd и время их аренды, для DHCP-сервера IP-адрес . Далее устанавливают соответствие MAC- и IP-адресов. Затем запоминают соответствие MAC- и IP-адресов в массиве памяти NA. После этого удаляют из массива памяти NA, те соответствия сетевых устройств вычислительной сети, от которых не получили сообщения, подтверждающие их выбор. Далее устанавливают соединения между сетевыми устройствами вычислительной сети и назначают установленным соединениям между сетевыми устройствами вычислительной сети идентификаторы CIPm. Затем запоминают идентификаторы CIPm в массиве памяти Ci и принимают из канала связи пакет сообщения. После этого выделяют из заголовка принятого пакета сообщения идентификатор информационного потока, а затем сравнивают его с идентификаторами санкционированных информационных потоков TS. В случае совпадения выделенного идентификатора информационного потока с идентификаторами санкционированных информационных потоков TS передают пакет сообщений получателю. После этого принимают из канала связи следующий пакет сообщения. В случае несовпадения выделенного идентификатора с идентификаторами санкционированных информационных потоков TS сравнивают IP-адрес получателя в принятом пакете сообщений с предварительно заданными ложными IP-адресами абонентов вычислительной сети FIP. В ином случае, при несовпадении IP-адреса получателя в принятом пакете сообщений с предварительно заданными ложными IP-адресами абонентов FIP, игнорируют пакет сообщений. При совпадении IP-адреса получателя в принятом пакете сообщений с предварительно заданными ложными IP-адресами абонентов FIP, сравнивают IP-адрес отправителя пакетов сообщений с каждым IP-адресом сетевого устройства вычислительной сети из множества IPd. В случае их совпадения исключают МАС-адрес сетевого устройства из массива NA DHCP-сервера, а в случае их несовпадения считывают DHCP-сервером из массива D следующий d=d+1 номер подсети. После этого формируют для сетевых устройств сообщения, содержащие новые параметры синхронизации установленного часового пояса и времени, номер подсети d=d+1, IP-адреса IP(d+1) и время их аренды , DHCP-серверу IP-адрес . Затем направляют с DHCP-сервера сетевым устройствам вычислительной сети сформированные сообщения, содержащие новые параметры синхронизации установленного часового пояса и времени, номер подсети d=d+1, IP-адреса IP(d+1) и время их аренды . Далее принимают каждым сетевым устройством вычислительной сети сообщения, содержащие новые параметры синхронизации установленного часового пояса и времени, номер подсети d=d+1, IP-адреса IP(d+1) и время их аренды . После этого задают сетевым устройствам вычислительной сети параметры синхронизации установленного часового пояса и времени, номер подсети d=d+1, IP-адреса IP(d+1) и время их аренды , задают IP-адрес для DHCP-сервера. Затем вновь формируют массив памяти NA для хранения матрицы соответствия MAC- и IP-адресов сетевых устройств вычислительной сети. В предварительно заданные исходные данные дополнительно задают значение времени tz считывания параметров сетевого трафика из подсети d. Затем дополнительно задают массив памяти Mz для хранения параметров считанного сетевого трафика из подсети d. После этого дополнительно задают массив памяти MH для хранения вычисленного значения коэффициента самоподобия сетевого трафика из подсети d. Далее дополнительно задают множество {Ht} требуемых значений коэффициента самоподобия сетевого трафика из подсети d, время td направления ложного сетевого трафика в подсеть. После формирования и назначения параметров сетевым устройствам подсети, установления соответствия MAC- и IP-адресов и запоминания этого соответствия в массиве памяти NA, а также установления между сетевыми устройствами сетевых соединений и идентификаторов CIPm этих соединений, считывают в течение времени tz параметры сетевого трафика между сетевыми устройствами из подсети d. Затем запоминают в массиве памяти Mz считанные параметры сетевого трафика между сетевыми устройствами из подсети d. Далее вычисляют значение Нс показателя самоподобия сетевого трафика между сетевыми устройствами из подсети d. После этого запоминают в массиве памяти MH вычисленное значение Нс показателя самоподобия сетевого трафика между сетевыми устройствами из подсети d. Затем, после приема из канала связи пакета сообщения и выделения идентификатора информационного потока, последующего его сравнения с идентификаторами санкционированных информационных потоков и в случае несовпадения IP-адреса отправителя пакетов сообщений с множеством IP-адресов IPd подсети d, после формирования для сетевых устройств подсети d сообщений, содержащих новые сетевые параметры и направления этих сообщений сетевым устройствам, задают в подсети d сетевое устройство для формирования и направления информационных потоков ложного сетевого трафика в этой подсети. Далее задают сетевым устройствам подсети d, кроме сетевого устройства для формирования и направления информационных потоков ложного сетевого трафика, параметры синхронизации установленного часового пояса и времени, номер подсети d=d+1, IP-адреса IP(d+1) и время их аренды , IP-адрес выбранного DHCP-сервера . После этого вновь формируют массив памяти NA для новой подсети d=d+1. Затем сравнивают вычисленное значение Нс показателя самоподобия сетевого трафика между сетевыми устройствами из подсети d со значением требуемого коэффициента самоподобия сетевого трафика из множества {Ht}. В случае их несоответствия формируют для подсети d информационные потоки ложного сетевого трафика со случайными параметрами. После этого направляют с заданного сетевого устройства в подсеть d информационные потоки сформированного ложного сетевого трафика со случайными параметрами до истечения времени td. В ином случае, при соответствии вычисленного значения Нс показателя самоподобия сетевого трафика между сетевыми устройствами из подсети d значению требуемого коэффициента самоподобия сетевого трафика из множества {Ht}, считывают из массива памяти Mz параметры сетевого трафика подсети d. Далее формируют математическую модель для каждого из параметров сетевого трафика подсети d. После этого формируют информационные потоки ложного сетевого трафика между сетевыми устройствами подсети d с параметрами, полученными на основании сформированных математических моделей для каждого из них. Затем направляют с заданного сетевого устройства информационные потоки сформированного ложного самоподобного сетевого трафика в подсеть d до истечения времени td. По истечении времени направления ложного сетевого трафика td завершают направление ложного сетевого трафика в подсеть d. Далее задают сетевому устройству, с которого осуществлялось формирование и направление ложного сетевого трафика в подсеть d, новые параметры синхронизации установленного часового пояса и времени, номер подсети d=d+1, IP-адрес IP(d+1) и время его аренды , IP-адрес выбранного DHCP-сервера . Затем вновь формируют массив памяти NA для хранения матрицы соответствия MAC- и IP-адресов сетевых устройств в подсети d=d+1 с учетом появившегося из подсети d сетевого устройства, с которого осуществлялось формирование и направление ложного сетевого трафика.This goal is achieved by the fact that in the well-known method of protecting computer networks, IP=[IP 1 , IP 2 ... IP n } is pre-set IP addresses of network devices of the computer network that are DHCP clients of the DHCP server, where n is the maximum allowable value of the number IP addresses of network devices of a computer network. Then subsets d are preliminarily set in the set of IP addresses of network devices of the computer network , where d is the DHCP server subnet number, d=1, 2 … z, where z is the maximum number of subnets. Next, for each subset d, the IP addresses of DHCP servers are set , Where - DHCP server IP address, . After that, a memory array D=[1, 2, …, z] is preliminarily set to store the subnet numbers of the DHCP server and t d max is the maximum value of the lease time for all IP addresses of the subnet with the number d. Next, C={CIP 1 , CIP 2 ... CIP m } is set to a set of connections between network devices of a computer network, where CIP m is a connection identifier between network devices of a computer network, which contains the IP address of the sender c, and the recipient b, protocol type interactions, interaction ports, where m is the maximum allowable number of connections between network devices of a computer network. After that, a memory array C i =[CIP 1 , CIP 2 ... CIP m ] is preliminarily set to store identifiers CIP m and a set of identifiers of authorized information flows TS≥1. Then pre-set MAC={MAC 1 , MAC 2 ... MAC l } a set of MAC addresses of network devices of the computer network, where l is the maximum number of network devices in the computer network. Next, a memory array N A is set to store the matrix of correspondence to the n-th IP address of the network device from the set of IP addresses of the l-th MAC address from the MAC memory array. Then ask is the set of IP addresses of false subscribers of subnet d, where ƒ is the maximum allowable number of IP addresses of network devices of subnet d. After that, network devices are connected to the computer network. Next, messages are sent from the network devices of the computer network to the DHCP server to obtain the synchronization parameters of the set time zone and time, subnet number d, IP addresses IP d and their lease time, IP address of the DHCP server . Then the DHCP server receives messages from network devices of the computer network. After that, messages are generated for network devices containing the synchronization parameters of the set time zone and time, assigned subnet number d, IP addresses IP d and their lease time, IP address of the DHCP server . Then the generated messages are sent to the network devices of the computer network. Next, each network device of the computer network receives a message from the DHCP server. After that, response messages are sent from the network devices of the computer network to the DHCP server, confirming its choice. Then the DHCP server receives messages from network devices of the computer network confirming its choice. After that, the network device of the computer network sets the synchronization parameters of the set time zone and time, assigned subnet number d, IP addresses IP d and their lease time, for the DHCP server IP address . Next, match the MAC and IP addresses. Then remember the correspondence of MAC and IP addresses in the memory array N A . After that, those correspondences of network devices of the computer network are removed from the memory array N A , from which they did not receive messages confirming their choice. Next, connections are established between the network devices of the computer network and assigned to the established connections between the network devices of the computer network identifiers CIP m . Then the identifiers CIP m are stored in the memory array C i and a message packet is received from the communication channel. After that, the identifier of the information flow is extracted from the header of the received message packet, and then it is compared with the identifiers of the authorized information flows of the TS. If the allocated information flow identifier matches the authorized information flow identifiers, the TS transmits the message packet to the recipient. After that, the next message packet is received from the communication channel. If the allocated identifier does not match the identifiers of the authorized information flows, the TS compares the IP address of the recipient in the received message packet with the predefined false IP addresses of the FIP computer network subscribers. Otherwise, if the recipient's IP address in the received message packet does not match the predefined false IP addresses of FIP subscribers, the message packet is ignored. If the IP address of the recipient in the received message packet matches the predefined false IP addresses of FIP subscribers, the IP address of the sender of the message packets is compared with each IP address of the network device of the computer network from the set of IP d . If they match, the MAC address of the network device is excluded from the array N A of the DHCP server, and if they do not match, the next d=d+1 subnet number is read by the DHCP server from the array D. After that, messages are generated for network devices containing new synchronization parameters of the set time zone and time, subnet number d=d+1, IP addresses (d+1) and their lease time , DHCP server IP address . Then generated messages are sent from the DHCP server to the network devices of the computer network containing new synchronization parameters of the set time zone and time, subnet number d=d+1, IP addresses (d+1) and their lease time . Next, each network device of the computer network receives messages containing new synchronization parameters for the set time zone and time, subnet number d=d+1, IP addresses (d+1) and their lease time . After that, the network devices of the computer network are set the synchronization parameters of the set time zone and time, the subnet number d=d+1, IP addresses (d+1) and their lease time , set the IP address for the DHCP server. Then, a memory array N A is again formed to store the mapping matrix of MAC and IP addresses of network devices of the computer network. The predetermined initial data is additionally set with the time value t z for reading the network traffic parameters from the subnet d. Then, a memory array M z is additionally set to store the parameters of the read network traffic from the subnet d. After that, a memory array M H is additionally set to store the calculated value of the self-similarity coefficient of network traffic from the subnet d. Further, a set {H t } of required values of the self-similarity coefficient of network traffic from subnet d, time t d of sending false network traffic to the subnet are additionally set. After the formation and assignment of parameters to the network devices of the subnet, the establishment of a correspondence between MAC and IP addresses and storing this correspondence in the memory array N A , as well as the establishment of network connections and identifiers CIP m of these connections between network devices, the network parameters are read during time t z traffic between network devices on the subnet d. Then the read parameters of network traffic between network devices from subnet d are stored in the memory array M z . Next, the value of H is calculated from the self-similarity index of network traffic between network devices from subnet d. After that, the calculated value H c of the self-similarity index of network traffic between network devices from the subnet d is stored in the memory array M H. Then, after receiving a message packet from the communication channel and extracting the identifier of the information flow, then comparing it with the identifiers of authorized information flows, and in the event that the IP address of the sender of message packets does not match the set of IP addresses IP d of the subnet d, after the formation of subnet d for network devices messages containing new network parameters and the direction of these messages to network devices, specify a network device in subnet d to form and direct information flows of false network traffic in this subnet. Next, the network devices of the subnet d, except for the network device for generating and directing information flows of false network traffic, are set to the synchronization parameters of the set time zone and time, the subnet number d=d+1, IP addresses (d+1) and their lease time , IP address of selected DHCP server . After that, the memory array N A is again formed for the new subnet d=d+1. Then, the calculated value H is compared with the network traffic self-similarity index between network devices from the subnet d with the value of the required network traffic self-similarity coefficient from the set {H t }. In case of their discrepancy, information flows of false network traffic with random parameters are formed for subnet d. After that, information flows of generated false network traffic with random parameters are sent from a given network device to subnet d until time t d expires. Otherwise, if the calculated value H corresponds to the network traffic self-similarity index between network devices from the subnet d to the required network traffic self-similarity coefficient from the set {H t }, the network traffic parameters of the subnet d are read from the memory array M z . Next, a mathematical model is formed for each of the network traffic parameters of the subnet d. After that, information flows of false network traffic are formed between network devices of subnet d with parameters obtained on the basis of the generated mathematical models for each of them. Then information flows of generated false self-similar network traffic are sent from a given network device to subnet d until time t d expires. After the timeout, the directions of the fake network traffic td complete the direction of the fake network traffic to the subnet d. Next, the network device from which the false network traffic was generated and sent to the subnet d is given new synchronization parameters for the set time zone and time, subnet number d=d+1, IP address IP (d+1) and its lease time , IP address of selected DHCP server . Then, a memory array N A is again formed to store the mapping matrix of MAC and IP addresses of network devices in subnet d=d+1, taking into account the network device that appeared from subnet d, from which false network traffic was generated and directed.
Значение времени td направления ложного сетевого трафика в подсеть d задают равным 86400 секунд.The value of time t d for sending false network traffic to subnet d is set to 86400 seconds.
В качестве параметров для формирования самоподобного ложного сетевого трафика выбирают длительность соединения, IP-адрес источника, порт источника, IP-адрес назначения, порт назначения, количество пакетов в сессии, количество байт, переданных за сессию.Connection duration, source IP address, source port, destination IP address, destination port, number of packets per session, number of bytes transferred per session are selected as parameters for generating self-similar false network traffic.
Значение времени tz считывания параметров сетевого трафика в подсети d задают равным 86400 секунд.The time value t z for reading network traffic parameters in subnet d is set to 86400 seconds.
В качестве алгоритма для расчета показателя самоподобия Нс сетевого трафика выбирают алгоритм анализа скорректированного измененного диапазона.As an algorithm for calculating the self-similarity index H from network traffic, an algorithm for analyzing the corrected changed range is chosen.
В качестве аттрактора математической модели самоподобного ложного сетевого трафика выбирают нелинейный осциллятор Ван дер Поля.The nonlinear van der Pol oscillator is chosen as an attractor of the mathematical model of self-similar false network traffic.
Требуемые значения коэффициента самоподобия сетевого трафика Ht выбирают в пределах 0,5<Ht<1.The required values of the coefficient of self-similarity of network traffic Ht is chosen within 0.5<H t <1.
Благодаря новой совокупности существенных признаков в заявленном способе обеспечивается повышение результативности защиты за счет снижения возможностей нарушителя по компрометации средств защиты и его введения в заблуждение. Это достигается формированием ложного сетевого трафика в исходной подсети после изменения текущих параметров сетевых устройств на новые параметры в новой подсети.Due to the new set of essential features in the claimed method, the effectiveness of protection is increased by reducing the ability of the intruder to compromise the means of protection and mislead him. This is achieved by generating false network traffic on the original subnet after changing the current settings of network devices to new settings on the new subnet.
Заявленные объекты изобретения поясняются чертежами, на которых показаны:The claimed objects of the invention are illustrated by drawings, which show:
фиг. 1 - Схема защищаемой вычислительной сети с использованием устройства для формирования и направления в сеть ложного сетевого трафика;fig. 1 - Scheme of a protected computer network using a device for generating and directing false network traffic to the network;
фиг. 2а - Блок-схема последовательности действий, реализующих заявленный способ защиты вычислительных сетей;fig. 2a - Block diagram of the sequence of actions that implement the claimed method of protecting computer networks;
фиг. 2б - Блок-схема последовательности действий, реализующих заявленный способ защиты вычислительных сетей.fig. 2b - Block diagram of the sequence of actions that implement the claimed method for protecting computer networks.
Реализация заявленного способа объясняется следующим образом. В настоящее время в состав мер защиты информации в государственных информационных системах включены: сокрытие архитектуры и конфигурации информационных систем; создание (эмуляция) ложных информационных систем или их компонентов; перевод информационной (автоматизированной) системы в безопасное состояние при возникновении отказов (сбоев), что приведено, например, в Приказе ФСТЭК России от 25 декабря 2017 г. «Об утверждении Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации (в ред. приказов ФСТЭК России от 9 августа 2018 г. №138, от 26 марта 2019 г. №60, от 20 февраля 2020 г. №35)» на стр. 35.The implementation of the claimed method is explained as follows. At present, information protection measures in state information systems include: hiding the architecture and configuration of information systems; creation (emulation) of false information systems or their components; transfer of an information (automated) system to a safe state in the event of failures (failures), which is given, for example, in the Order of the FSTEC of Russia dated December 25, 2017 "On approval of the Requirements for ensuring the security of significant objects of critical information infrastructure of the Russian Federation (as amended by orders FSTEC of Russia dated August 9, 2018 No. 138, dated March 26, 2019 No. 60, dated February 20, 2020 No. 35) ”on
Это обусловлено тем, что наряду с угрозами безопасности информации, связанными с осуществлением несанкционированного воздействия на информационные системы, компонентами которых являются вычислительные сети, достаточно большое количество компьютерных атак носит разведывательный характер с целью получения информации о составе, структуре и алгоритмах функционирования, местоположении и принадлежности информационных систем. В частности, на реконструкцию структурно-функциональных характеристик информационных систем нацелена угроза определения топологии информационных систем, реализуемая нарушителем средствами сетевой разведки посредством сетевого сканирования и анализа сетевого трафика. Результатом сетевой разведки является вскрытие топологии информационных систем, распределенной в киберпространстве и определение важности ее узлов, что может быть использовано нарушителем для реализации спланированных АРТ-атак (от англ. advanced persistent threat - «развитая устойчивая угроза», целевая компьютерная атака), которые известны и описаны, например, в статье Левцов В., Демидов, Н. Анатомия таргетированной атаки, часть 1, Информационная безопасность, 2016, №2, на стр. 36-39.This is due to the fact that, along with threats to information security associated with the implementation of unauthorized impact on information systems, the components of which are computer networks, a fairly large number of computer attacks are reconnaissance in nature in order to obtain information about the composition, structure and algorithms of functioning, location and ownership of information systems. In particular, the threat of determining the topology of information systems, implemented by the intruder by means of network intelligence through network scanning and network traffic analysis, is aimed at reconstructing the structural and functional characteristics of information systems. The result of network intelligence is the discovery of the topology of information systems distributed in cyberspace and the determination of the importance of its nodes, which can be used by the intruder to implement planned APT attacks (from the English advanced persistent threat - “developed persistent threat”, targeted computer attack), which are known and are described, for example, in the article Levtsov V., Demidov, N. Anatomy of a targeted attack,
Задача реализации перечисленных выше мер защиты информационных систем от сетевой разведки решается посредством формирования ложного сетевого трафика, под которым понимают совокупность ложных (маскирующих) пакетов сообщений, формируемых с целью создания у нарушителя устойчивых ложных стереотипов о составе, структуре и алгоритмах функционирования информационных систем, что известно и описано, например, в статье Соколовский С.П., Теленьга А.П. Методика формирования ложного сетевого трафика информационных систем для защиты от сетевой разведки, Вестник компьютерных и информационных технологий, 2022, т. 19, №2, на стр. 40-47. Однако, решение данной задачи осложняется следующим обстоятельством. После реконфигурации структурно-функциональных характеристик информационной системы, в подсети, где изначально был организован информационный обмен, не останется активных узлов и, соответственно, будет отсутствовать сетевой трафик. Данное обстоятельство приведет к компрометации применяемых средств защиты и изменению стратегии вредоносного воздействия на информационную систему нарушителем. Для устранения такого демаскирующего признака системы защиты необходимо не просто реконфигурировать структурно-функциональных характеристик информационных систем в рамках нескольких подсетей, но и поддерживать между узлами ложный сетевой трафик, имеющий статистические характеристики скомпрометированной информационной системы, для того, чтобы киберманевр не был обнаружен нарушителем, что известно и описано, например, в статье Applegate S.D. The principle of maneuver in cyber operations, 4th International Conference on Cyber Conflict (CYCON 2012) на стр. 1-13. При этом возможны следующие варианты решения задачи формирования ложного сетевого трафика информационной системы.The task of implementing the above measures to protect information systems from network reconnaissance is solved by generating false network traffic, which is understood as a set of false (masking) message packets formed in order to create stable false stereotypes in the offender about the composition, structure and algorithms of information systems functioning, which is known and described, for example, in the article Sokolovsky S.P., Telenga A.P. Methodology for generating false network traffic of information systems to protect against network intelligence, Bulletin of Computer and Information Technologies, 2022, v. 19, No. 2, on pp. 40-47. However, the solution of this problem is complicated by the following circumstance. After the reconfiguration of the structural and functional characteristics of the information system, there will be no active nodes in the subnet where the information exchange was originally organized and, accordingly, there will be no network traffic. This circumstance will lead to the compromise of the applied means of protection and a change in the strategy of the malicious impact on the information system by the intruder. To eliminate such a revealing feature of the protection system, it is necessary not only to reconfigure the structural and functional characteristics of information systems within several subnets, but also to support false network traffic between nodes, which has the statistical characteristics of a compromised information system, so that the cyber maneuver is not detected by the intruder, which is known and described, for example, in the article Applegate S.D. The principle of maneuver in cyber operations, 4th International Conference on Cyber Conflict (CYCON 2012) on pp. 1-13. In this case, the following options for solving the problem of generating false network traffic of an information system are possible.
Первым вариантом является предварительная запись сетевого трафика информационной системы и последующая отправка сохраненных пакетов в сеть. При этом временной интервал между пакетами берется из предварительно записанного дампа сетевого трафика информационной системы. Недостаток данного подхода, связанный с необходимостью хранения больших объемов данных, очевиден. Кроме того, при относительно небольшом количестве абонентов в информационной системе возможно обнаружение факта повторного использования (клонирования) сетевого трафика.The first option is to pre-record the network traffic of the information system and then send the saved packets to the network. In this case, the time interval between packets is taken from a previously recorded dump of the network traffic of the information system. The disadvantage of this approach, associated with the need to store large amounts of data, is obvious. In addition, with a relatively small number of subscribers in the information system, it is possible to detect the fact of reuse (cloning) of network traffic.
Вторым, и более предпочтительным, вариантом представляется генерация ложного сетевого трафика на основе характеристик реального сетевого трафика, которая выполняется специально назначенным узлом вычислительной сети. Для обеспечения максимального правдоподобия ложного сетевого трафика его статистические свойства должны соответствовать статистическим свойствам информационного трафика объекта защиты. В противном случае применение таких мер защиты может быть скомпрометировано, а цели имитации не будут достигнуты.The second, and more preferable, option is the generation of false network traffic based on the characteristics of real network traffic, which is performed by a specially designated computer network node. To ensure the maximum likelihood of false network traffic, its statistical properties must correspond to the statistical properties of the information traffic of the protection object. Otherwise, the application of such protection measures may be compromised, and the objectives of the simulation will not be achieved.
Заявленный способ реализуют следующим образом. В общем случае (см. фиг. 1) подсеть представляет собой совокупность корреспондентов 100, DHCP-сервера 101, являющихся источниками и получателями сетевого трафика, анализатора пакетов (102) для составления отчетов, периферийного и коммуникационного оборудования 103, устройства для формирования и направления в подсеть ложного сетевого трафика 104.The claimed method is implemented as follows. In the general case (see Fig. 1), a subnet is a collection of
Для защиты вычислительной сети и введения в заблуждение нарушителя 105 относительно структуры вычислительной сети, осуществляют периодическую смену IP-адресов и других сетевых параметров ее сетевых устройств в рамках нескольких подсетей, а для введения в заблуждение нарушителя относительно применения средств защиты осуществляют формирование и направление в исходную подсеть ложного сетевого трафика.To protect the computer network and mislead the
На фиг. 2а, 2б представлена блок-схема последовательности действий, реализующих заявленный способ защиты вычислительных сетей, в которой приняты следующие обозначения:In FIG. 2a, 2b shows a block diagram of the sequence of actions that implement the claimed method of protecting computer networks, in which the following designations are accepted:
{IPd} - множество всех IP-адресов сетевых устройств вычислительной сети, являющихся клиентами DHCP-сервера с IP-адресом , где d - номер подсети DHCP-сервера d=1, 2 … z, a z - максимальное количество подсетей;{IP d } - the set of all IP addresses of network devices of the computer network that are clients of the DHCP server with the IP address , where d - DHCP server subnet number d=1, 2 … z, az - maximum number of subnets;
- IP-адрес доверенного DHCP-сервера, где ; - IP address of a trusted DHCP server, where ;
[D] - массив памяти для хранения номера подсети DHCP-сервера;[D] - memory array for storing the subnet number of the DHCP server;
td max - максимальное значение времени аренды всех IP-адресов подсети d;t d max - the maximum value of the lease time for all IP addresses of subnet d;
{С} - множество соединений между сетевыми устройствами вычислительной сети;{С} - set of connections between network devices of a computer network;
CIPm - идентификатор соединения между сетевыми устройствами вычислительной сети;CIP m - connection identifier between network devices of the computer network;
m - максимально допустимое количество соединений между сетевыми устройствами вычислительной сети;m - the maximum allowable number of connections between network devices of a computer network;
[Ci] - массив памяти для хранения идентификаторов CIPm;[C i ] - memory array for storing identifiers CIP m ;
{TS} - множество идентификаторов санкционированных информационных потоков;{TS} - set of identifiers of authorized information flows;
{MAC} - множество МАС-адресов сетевых устройств вычислительной сети;{MAC} - set of MAC addresses of network devices of a computer network;
l - максимальное количество сетевых устройств в вычислительной сети;l - the maximum number of network devices in the computer network;
[NA] - массив памяти для хранения матрицы соответствия n-му IP-адресу сетевого устройства из множества IP-адресов l-го MAC-адреса из массива памяти MAC;[N A ] - a memory array for storing a matrix of correspondence to the n-th IP address of the network device from the set of IP addresses of the l-th MAC address from the MAC memory array;
{FIPd} - множество IP-адресов ложных абонентов подсети d, FIPd={FIPd 1, FIPd 2 … FIPd n}, где n - максимальное допустимое количество IP-адресов сетевых устройств вычислительной сети.{FIP d } - set of IP addresses of false subscribers of subnet d, FIP d ={FIP d 1 , FIP d 2 ... FIP d n }, where n - the maximum allowable number of IP addresses of network devices of the computer network.
Для повышения результативности защиты, за счет снижения возможностей нарушителя по компрометации средств защиты и введения нарушителя в заблуждение, в предварительно заданные исходные данные дополнительно задают (см. блок 1 на фиг. 2а) значение времени tz считывания параметров сетевого трафика из подсети d, позволяющее получить репрезентативную выборку сетевого трафика.To improve the effectiveness of protection, by reducing the ability of the intruder to compromise the means of protection and misleading the intruder, the predefined initial data is additionally set (see
Затем в предварительно заданные исходные данные дополнительно задают (см. блок 1 на фиг. 2а) массив памяти Mz для хранения параметров считанного сетевого трафика из подсети d, необходимых для расчета коэффициента самоподобия сетевого трафика из подсети d.Then, in the predefined initial data, an additional memory array M z is specified (see
После этого для формирования параметров генерации ложного сетевого трафика в предварительно заданные исходные данные дополнительно задают (см. блок 1 на фиг. 2а) массив памяти MH для хранения вычисленного значения коэффициента самоподобия сетевого трафика из подсети d.After that, in order to form the parameters for generating false network traffic, a memory array M H is additionally specified in the predefined initial data (see
Далее, для расчета параметров математических моделей ложного сетевого трафика в предварительно заданные исходные данные дополнительно задают (см. блок 1 на фиг. 2а) множество {Ht} требуемых значений коэффициента самоподобия сетевого трафика из подсети d.Further, to calculate the parameters of mathematical models of false network traffic, the set of required values of the self-similarity coefficient of network traffic from the subnet d is additionally specified (see
После этого для совершения бескомпроматного киберманевра в предварительно заданные исходные данные дополнительно задают (см. блок 1 на фиг. 2а) время td направления ложного сетевого трафика в подсеть d.After that, in order to perform an uncompromising cyber maneuver, the predetermined initial data is additionally set (see
Затем подключают (см. блок 2 на фиг. 2а) сетевые устройства к вычислительной сети и после их инициализации направляют (см. блок 3 на фиг. 2а) с сетевых устройств вычислительной сети сообщения на DHCP-сервер с IP-адресом для получения параметров синхронизации установленного часового пояса, IP-адресов и времени продолжительности их аренды tap, номера подсети d и IP-адреса DHCP-сервера . Схема протокольного обмена сообщениями между сетевыми устройствами и DHCP-сервером известна и описана, например, в технических спецификациях (RFC, Request for Comments) сети Интернет (см., например, https://tools.ietf.org/html/rfc2131).Then the network devices are connected (see
После этого принимают (см. блок 4 на фиг. 2а) DHCP-сервером с IP-адресом сообщения от сетевых устройств вычислительной сети.After that, they are accepted (see
Затем формируют (см. блок 5 на фиг. 2а) для сетевых устройств сообщения, содержащие параметры синхронизации установленного часового пояса и времени, назначенные номер подсети d, IP-адреса IPd и время их аренды, IP-адрес DHCP-сервера . Необходимость синхронизации установленного часового пояса и времени возникает в случае, когда время сервера и сетевых устройств вычислительной сети различается, при этом сервер может счесть аренду завершившейся раньше, чем это сделает сетевое устройство. Синхронизация осуществляется путем установки общего часового пояса и времени DHCP-сервера и сетевых устройств вычислительной сети.Then messages are generated (see block 5 in Fig. 2a) for network devices containing synchronization parameters of the set time zone and time, assigned subnet number d, IP addresses IP d and their lease time, IP address of the DHCP server . The need to synchronize the set time zone and time arises when the time of the server and network devices of the computer network differs, while the server may consider the lease to be completed earlier than the network device does. Synchronization is carried out by setting a common time zone and time of the DHCP server and network devices of the computer network.
Далее направляют (см. блок 6 на фиг. 2а) DHCP-сервером ответные сообщения, содержащие параметры синхронизации установленного часового пояса и времени, назначенные номер подсети d, IP-адреса IPd и время их аренды, IP-адрес DHCP-сервера , для обратившихся с запросом сетевых устройств вычислительной сети.Next, (see
Принимают (см. блок 7 на фиг. 2а) каждым сетевым устройством вычислительной сети сообщения с DHCP-сервера и направляют (см. блок 8 на фиг. 2а) ответные сообщения DHCP-серверу, подтверждающие их выбор этого DHCP-сервера.Each network device receives (see
После этого принимают (см. блок 9 на фиг. 2а) DHCP-сервером сообщения от сетевых устройств вычислительной сети, подтверждающие их выбор и задают (см. блок 10 на фиг. 2а) сетевым устройствам вычислительной сети параметры синхронизации установленного часового пояса и времени, назначенные номер подсети d, IP-адреса IPd и время их аренды, IP-адрес DHCP-сервера выбранного DHCP-сервера.After that, messages are received (see block 9 in Fig. 2a) by the DHCP server from network devices of the computer network confirming their choice and set (see
Затем устанавливают (см. блок 11 на фиг. 2а) соответствие MAC- и IP-адресов и запоминают (см. блок 12 на фиг. 2а) это соответствие MAC- и IP-адресов в массиве памяти NA.Then set (see block 11 in Fig. 2a) the correspondence of MAC and IP addresses and remember (see
Далее удаляют (см. блок 13 на фиг. 2а) из массива памяти NA, те соответствия сетевых устройств вычислительной сети, от которых не получили сообщения, подтверждающие их выбор, тем самым исключают выдачу IP-адресов неактивным сетевым устройствам.Next, remove (see
После этого устанавливают соединения между сетевыми устройствами вычислительной сети (см. блок 14 на фиг. 2а) и назначают (см. блок 15 на фиг. 2а) установленным соединениям между сетевыми устройствами вычислительной сети идентификаторы CIPm.After that, connections are established between the network devices of the computer network (see
Далее установленные идентификаторы CIPm запоминают (см. блок 16 на фиг. 2а) в массиве памяти Ci.Further, the set identifiers CIP m are stored (see
Затем считывают (см. блок 17 на фиг. 2а) в течение времени tz параметры сетевого трафика между сетевыми устройствами из подсети d. Существует несколько подходов к описанию сетевого трафика вычислительной сети: в виде потоков и в виде последовательности пакетов («сырой» трафик).Then read (see block 17 in Fig. 2a) during the time t z network traffic parameters between network devices from the subnet d. There are several approaches to describing the network traffic of a computer network: in the form of streams and in the form of a sequence of packets ("raw" traffic).
Потоки содержат заголовочную информацию о сетевых соединениях между двумя конечными устройствами, такими как серверы или рабочие станции. Каждый поток представляет собой совокупность переданных сетевых пакетов, которые имеют некоторые общие свойства. Как правило, все передаваемые сетевые пакеты с одинаковыми IP-адресом источника, портом источника, IP-адресом назначения, порт назначения и транспортным протоколом в пределах временного окна объединяются в один поток, как описано, например, в статье Choudhary S., Usage of Netflow in Security and Monitoring of Computer Networks, Interntional Journal of Computer Applications, 2013, vol. 68, no. 24, на стр. 17-24.Streams contain header information about network connections between two end devices, such as servers or workstations. Each stream is a collection of transmitted network packets that share some common properties. As a rule, all transmitted network packets with the same source IP address, source port, destination IP address, destination port and transport protocol within the time window are combined into one stream, as described, for example, in the article Choudhary S., Usage of Netflow in Security and Monitoring of Computer Networks, International Journal of Computer Applications, 2013, vol. 68, no. 24, on pp. 17-24.
«Сырой» трафик представляет собой последовательность пакетов, каждый из которых содержит время отправки пакета, IP-адрес источника, порт источника, IP-адрес назначения, порт назначения, протокол, размер пакета, установленные флаги и поле данных, в которое записывается полезная нагрузка, как описано, например, в статье Alothman В. Raw Network Traffic Data Preprocessing and Preparation for Automatic Analysis, 2019 International Conference on Cyber Security and Protection of Digital Services (Cyber Security), 2019, на стр. 1-5. Таким образом, параметрами, определяющими сетевое взаимодействие двух узлов сети передачи данных вычислительной сети, являются IP-адрес источника, порт источника, IP-адрес назначения, порт назначения, протокол, размер пакета, длительность соединения."Raw" traffic is a sequence of packets, each of which contains the time the packet was sent, the source IP address, source port, destination IP address, destination port, protocol, packet size, flags set, and the data field in which the payload is written, as described, for example, in Alothman B. Raw Network Traffic Data Preprocessing and Preparation for Automatic Analysis, 2019 International Conference on Cyber Security and Protection of Digital Services (Cyber Security), 2019, on pages 1-5. Thus, the parameters that determine the network interaction of two nodes of the data transmission network of a computer network are the source IP address, source port, destination IP address, destination port, protocol, packet size, connection duration.
После этого запоминают (см. блок 18 на фиг. 2а) в массиве памяти Mz считанные параметры сетевого трафика между сетевыми устройствами из подсети d.After that, the read parameters of network traffic between network devices from subnet d are stored (see
Далее вычисляют (см. блок 19 на фиг. 2а) значение Нс показателя самоподобия сетевого трафика между сетевыми устройствами из подсети d. Общепринятым показателем самоподобия процесса является показатель Херста Н, что известно и описано, например, в книге Hurst Н.Е., Black P., Simaika RY. M. Long-Term Storage: An Experimental Study, London: Constable, 1965. 145 p. В зависимости от вычисленных значений которого делают следующие выводы об исследуемых процессах: при 0≤Н≤0,5 - случайный процесс, не обладает самоподобием; при 0,5<Н<1 - процесс обладает длительной памятью и является самоподобным.Next, calculate (see
Для расчетов показателя Хёрста используют, например, алгоритм анализа скорректированного измененного диапазона, который известен и описан, например, в статье Anis А.А., Lloyd Е. Н. The expected value of the adjusted rescaled Hurst range of independent normal summands, Biometrica, 1976, no 63, на стр. 283-298.To calculate the Hurst exponent, for example, the algorithm for analyzing the adjusted rescaled range is used, which is known and described, for example, in the article by Anis A.A., Lloyd E.N. The expected value of the adjusted rescaled Hurst range of independent normal summands, Biometrica, 1976, no 63, at pp. 283-298.
Затем запоминают (см. блок 20 на фиг. 2а) в массиве памяти MH вычисленное значение Нс показателя самоподобия сетевого трафика между сетевыми устройствами из подсети d.Then store (see
Принимают (см. блок 21 на фиг. 2а) из канала связи пакет сообщения и выделяют (см. блок 22 на фиг. 2а) из заголовка принятого пакета сообщения идентификатор информационного потока CIPm.Receive (see
После этого сравнивают (см. блок 23 на фиг. 2а) его с идентификаторами санкционированных информационных потоков TS для определения возможности дальнейшей передачи пакета адресату.After that, it is compared (see block 23 in Fig. 2a) with the identifiers of authorized TS information flows to determine the possibility of further transmission of the packet to the destination.
При совпадении выделенного идентификатора информационного потока CIPm с идентификатором санкционированных информационных потоков TS передают (см. блок 24 на фиг. 2а) пакет сообщений получателю, а затем принимают (см. блок 21 на фиг. 2а) из канала связи следующий пакет сообщения.If the allocated information flow identifier CIP m matches the authorized information flow identifier TS, a message packet is transmitted (see
В случае несовпадения выделенного идентификатора CIPm с идентификаторами санкционированных информационных потоков TS, сравнивают (см. блок 25 на фиг. 2б) IP-адрес получателя в принятом пакете сообщений с предварительно заданными ложными IP-адресами абонентов вычислительной сети FIP.If the allocated CIP identifier m does not match the identifiers of the authorized information flows TS, the recipient's IP address in the received message packet is compared (see block 25 in Fig. 2b) with predefined false IP addresses of FIP computer network subscribers.
При несовпадении IP-адреса получателя в принятом пакете сообщений с предварительно заданными ложными IP-адресами абонентов FIP, игнорируют (см. блок 26 на фиг. 2б) пакет сообщений.If the IP address of the recipient in the received message packet does not match the predefined false IP addresses of FIP subscribers, the message packet is ignored (see
В ином случае, при совпадении IP-адреса получателя в принятом пакете сообщений с предварительно заданными ложными IP-адресами абонентов FIP определяют, является ли отправитель пакета сообщений санкционированным абонентом или нарушителем, для этого сравнивают (см. блок 27 на фиг. 2б) IP-адрес отправителя пакетов сообщений с каждым IP-адресом сетевого устройства вычислительной сети из множества IPd.Otherwise, if the IP address of the recipient in the received message packet matches the predefined false IP addresses of the FIP subscribers, it is determined whether the sender of the message packet is an authorized subscriber or an intruder, for this they compare (see
В случае их совпадения блокируют IP-адрес отправителя пакетов сообщений, считая его потенциальным нарушителем, для чего исключают (см. блок 28 на фиг. 2б) МАС-адрес данного сетевого устройства из массива памяти NA DHCP-сервера, тем самым изолируют нарушителя от дальнейшего информационного обмена в вычислительной сети при последующей реконфигурации сетевых параметров устройств и коммуникационного оборудования вычислительной сети.If they match, the IP address of the sender of message packets is blocked, considering it a potential intruder, for which they exclude (see
В случае же их несовпадения, то есть когда отправитель пакетов сообщений имеет нелегитимный IP-адрес, осуществляют реконфигурацию структурно-функциональных характеристик сетевых устройств вычислительных сети. Для этого считывают (см. блок 29 на фиг. 2б) DHCP-сервером из массива D очередной d=d+1 номер подсети для формирования параметров сетевых устройств в новой подсети, путем увеличения текущего номера сети d на единицу.In the case of their mismatch, that is, when the sender of the message packets has an illegitimate IP address, the structural and functional characteristics of the network devices of the computer network are reconfigured. To do this, read (see
Затем формируют (см. блок 30 на фиг. 2б) ответные сообщения DHCP-сервера, содержащие параметры установленного часового пояса и времени, а также новые IP-адреса , значения , следующий номер подсети d=d+1 и IP-адрес выбранного DHCP-сервера для каждого из сетевых устройств вычислительной сети. Формирование нового значения времени аренды IP-адресов сетевых устройств вычислительной сети осуществляют для исключения возможности нарушителя вычислить алгоритм перестройки IP-адресов.Then, DHCP server response messages are generated (see
Далее направляют (см. блок 31 на фиг. 2б) ответные сообщения DHCP-сервера, содержащие параметры установленного часового пояса и времени, а также новые IP-адреса значения , следующий номер подсети d=d+1 и IP-адрес выбранного DHCP-сервера сетевым устройствам вычислительной сети.Next, send (see
Затем принимают (см. блок 32 на фиг. 2б) каждым сетевым устройством вычислительной сети сообщения, содержащих параметры синхронизации установленного часового пояса и времени, новые IP-адреса и время продолжительности их аренды , номер подсети d=d+1 и IP-адрес выбранного DHCP-сервера .Then they receive (see
Далее, для сокрытия факта использования средств защиты и введения нарушителя в заблуждение, задают (см. блок 33 на фиг. 2б) в подсети d сетевое устройство для формирования и направления информационных потоков ложного сетевого трафика в этой подсети.Further, in order to hide the fact of using protection means and mislead the intruder, a network device is set (see
После этого задают (см. блок 34 на фиг. 2б) сетевым устройствам подсети d, кроме сетевого устройства для формирования и направления информационных потоков ложного сетевого трафика, параметры синхронизации установленного часового пояса и времени, номер подсети d=d+1, IP-адреса и время их аренды , IP-адрес выбранного DHCP-сервера .After that, set (see
Затем задают (см. блок 35 на фиг. 2б) IP-адрес DHCP-серверу.Then set (see
Далее, так как сетевые параметры устройств вычислительной сети изменились, вновь формируют (см. блок 36 на фиг. 2б) массив памяти NA для новой подсети d=d+1.Further, since the network parameters of the computer network devices have changed, they form again (see
Затем сравнивают (см. блок 37 на фиг. 2б) вычисленное значение Нс показателя самоподобия сетевого трафика между сетевыми устройствами из подсети d со значениями требуемого коэффициента самоподобия сетевого трафика из множества {Ht}.Then compare (see block 37 in Fig. 2b) the calculated value Hc of the network traffic self-similarity index between network devices from the subnet d with the values of the required network traffic self-similarity coefficient from the set {H t }.
В случае их несоответствия, исходя из определения показателя самоподобия, формируют (см. блок 42 на фиг. 2б) для подсети d информационные потоки ложного сетевого трафика со случайными параметрами, как описано, например, в статье Будко П.А., Будко Н.П., Литвинов А.И., Николаев В.А. Метод имитации сетевого трафика, Наукоемкие технологии в космических исследованиях Земли, том 5, №2, 2013, на стр. 30-37.In case of their discrepancy, based on the definition of the self-similarity index, information flows of false network traffic with random parameters are formed (see
Далее направляют (см. блок 43 на фиг. 2б) с сетевого устройства для формирования и направления информационных потоков ложного сетевого трафика в подсеть d информационные потоки сформированного ложного сетевого трафика со случайными параметрами до истечения времени td.Then send (see
В ином случае, при соответствии вычисленного значения Нс показателя самоподобия сетевого трафика между сетевыми устройствами из подсети d значению требуемого коэффициента самоподобия сетевого трафика из множества {Ht}, считывают (см. блок 38 на фиг. 2б) из массива памяти Mz параметры сетевого трафика подсети d.Otherwise, when the calculated value H corresponds to the self-similarity index of network traffic between network devices from the subnet d to the value of the required self-similarity coefficient of network traffic from the set {H t }, read (see
Далее формируют (см. блок 39 на фиг. 2б) математическую модель для каждого из параметров сетевого трафика подсети d.Next, a mathematical model is formed (see
Для синтеза математической модели применяют метод, который известен и описан, например, в книге Давыдов А.Е. Защита и безопасность ведомственных интегрированных инфокоммуникационных систем, Москва: Воентелеком, 2015, 520 с. В соответствии с этим методом для каждого из выбранных параметров сетевого трафика подбирают коэффициенты а и b уравнения нелинейного осциллятора Ван дер Поля , описанного, например, в статье J. Не, J. Cai, Design of a New Chaotic System Based on Van Der Pol Oscillator and Its Encryption Application, Mathematics, 2019, 7, 743 таким образом, чтобы показатель Хёрста Hs синтезированного временного ряда совпадал с заданной точностью с Нс.For the synthesis of a mathematical model, a method is used that is known and described, for example, in the book by A.E. Davydov. Protection and security of departmental integrated infocommunication systems, Moscow: Voentelecom, 2015, 520 p. In accordance with this method, for each of the selected network traffic parameters, the coefficients a and b of the equation of the nonlinear van der Pol oscillator are selected , described, for example, in the article J. Ne, J. Cai, Design of a New Chaotic System Based on Van Der Pol Oscillator and Its Encryption Application, Mathematics, 2019, 7, 743 so that the Hurst exponent H s of the synthesized time series coincided with the specified accuracy with H with .
После этого формируют (см. блок 40 на фиг. 2б) информационные потоки ложного сетевого трафика между сетевыми устройствами подсети d с параметрами, полученными на основании синтезированных математических моделей для каждого из них. Для этого вычисляют значения временного ряда, задаваемого соответствующей математической моделью для каждого из параметров сетевого трафика, меняя значение переменной t от 0 до td.After that, information flows of false network traffic are formed (see
Далее направляют (см. блок 41 на фиг. 2б) с заданного сетевого устройства информационные потоки сформированного ложного самоподобного сетевого трафика в подсеть d до истечения времени td (см. блок 44 на фиг. 2б).Next, information flows of the generated false self-similar network traffic are sent (see block 41 in Fig. 2b) from a given network device to subnet d until the time t d expires (see block 44 in Fig. 2b).
Затем по истечении времени td завершают (см. блок 45 на фиг. 2б) направление ложного сетевого трафика в исходную подсеть d. В течение этого времени все доступные меры защиты будут выполнены, киберманевр будет гарантировано совершен, а средства компьютерной разведки, осуществляющие низкоинтенсивное сканирование, не смогут его скомпрометировать.Then, after the time t d has elapsed (see
После этого задают сетевому устройству, с которого осуществлялось формирование и направление ложного сетевого трафика в подсети d, новые параметры синхронизации установленного часового пояса и времени, номер подсети d=d+1, IP-адрес и время его аренды , IP-адрес выбранного DHCP-сервера .After that, the network device from which the false network traffic was generated and sent to the subnet d is given new synchronization parameters for the set time zone and time, the subnet number d=d+1, the IP address and rental time , IP address of selected DHCP server .
Далее вновь формируют массив памяти NA для хранения матрицы соответствия MAC- и IP-адресов сетевых устройств в подсети d=d+1 с учетом появившегося из подсети d сетевого устройства, с которого осуществлялось формирование и направление ложного сетевого трафика.Next, a memory array N A is again formed to store the matrix of matching MAC and IP addresses of network devices in subnet d=d+1, taking into account the network device that appeared from subnet d, from which false network traffic was generated and directed.
Значение времени td направления ложного сетевого трафика в подсеть d задают равным 86400 секунд. Это обусловлено необходимостью защиты от низкоинтенсивного сканирования сети средствами компьютерной разведки, а также реализации дополнительных комплексных мер защиты.The value of time t d for sending false network traffic to subnet d is set to 86400 seconds. This is due to the need to protect against low-intensity network scanning by means of computer intelligence, as well as to implement additional comprehensive protection measures.
В качестве параметров для формирования самоподобного ложного сетевого трафика выбирают длительность соединения, IP-адрес источника, порт источника, IP-адрес назначения, порт назначения, количество пакетов в сессии, количество байт переданных за сессию. Совокупность этих параметров позволяет получить наиболее адекватные модели для генерации самоподобного трафика в вычислительной сети.As parameters for generating self-similar false network traffic, the connection duration, source IP address, source port, destination IP address, destination port, number of packets in a session, number of bytes transferred per session are selected. The combination of these parameters makes it possible to obtain the most adequate models for generating self-similar traffic in a computer network.
Значение времени tz считывания параметров сетевого трафика в подсети d задают равным 86400 секунд. Это обусловлено необходимостью формирования достаточного временного ряда для точного определения коэффициента самоподобия трафика, более явно проявляющегося на продолжительных отрезках времени.The time value t z for reading network traffic parameters in subnet d is set to 86400 seconds. This is due to the need to form a sufficient time series to accurately determine the traffic self-similarity coefficient, which is more clearly manifested over long periods of time.
В качестве алгоритма для расчета показателя самоподобия Нс сетевого трафика выбирают алгоритм анализа скорректированного измененного диапазона, который известен и описан, например, в книге Peters Е.Е. Fractal Market Analysis: Applying Chaos Theory to Investment and Economics, New York: Wiley, 1994, 336 p., что обусловлено его значительным быстродействием и точностью получаемых результатов по сравнению с традиционным R/S анализом.As an algorithm for calculating the self-similarity index H from network traffic, the corrected changed range analysis algorithm is chosen, which is known and described, for example, in the book of Peters E.E. Fractal Market Analysis: Applying Chaos Theory to Investment and Economics, New York: Wiley, 1994, 336 p., which is due to its significant speed and accuracy of the results obtained compared to traditional R/S analysis.
В качестве аттрактора математической модели параметров сетевого трафика выбирают нелинейный генератор Ван дер Поля, имеющий вид . Это обусловлено меньшим количеством вычисляемых коэффициентов модели по сравнению с другими известными динамическими системами, обладающими свойством самоподобия (аттракторами Лоренца и Мэки-Гласса).As an attractor of the mathematical model of network traffic parameters, a nonlinear Van der Pol generator is chosen, which has the form . This is due to a smaller number of calculated coefficients of the model compared to other known dynamical systems with the self-similarity property (Lorentz and Mackey-Glass attractors).
Требуемые значения коэффициента самоподобия сетевого трафика Ht выбирают в пределах 0,5<Ht<1 исходя из определения показателя Херста, описанного, например, в Hurst Н.Е., Black P., Simaika RY. M. Long-Term Storage: An Experimental Study, London: Constable, 1965. 145 p.The required values of the network traffic self-similarity coefficient H t are selected within 0.5<H t <1 based on the definition of the Hurst exponent described, for example, in Hurst H.E., Black P., Simaika RY. M. Long-Term Storage: An Experimental Study, London: Constable, 1965. 145 p.
В качестве устройства для формирования и направления в подсеть ложного сетевого трафика выбирают компьютер с установленным программным обеспечением для формирования сетевого трафика, например, PacketSender (http://packetsender.com).A computer with installed software for generating network traffic, for example, PacketSender (http://packetsender.com), is chosen as a device for generating and directing false network traffic to the subnet.
Таким образом, в заявленном способе обеспечивается повышение результативности защиты за счет снижения возможностей нарушителя по компрометации средств защиты и его введения в заблуждение. Это достигается формированием ложного сетевого трафика в исходной подсети после изменения текущих параметров сетевых устройств на новые параметры в новой подсети.Thus, the claimed method provides an increase in the effectiveness of protection by reducing the ability of the intruder to compromise the means of protection and mislead him. This is achieved by generating false network traffic on the original subnet after changing the current settings of network devices to new settings on the new subnet.
Claims (7)
Publications (1)
Publication Number | Publication Date |
---|---|
RU2789810C1 true RU2789810C1 (en) | 2023-02-10 |
Family
ID=
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20120117376A1 (en) * | 2001-03-21 | 2012-05-10 | Raytheon Bbn Technologies Corp. | Method and apparatus for anonymous ip datagram exchange using dynamic newtork address translation |
RU2475836C1 (en) * | 2012-03-12 | 2013-02-20 | Федеральное государственное военное образовательное учреждение высшего профессионального образования "Военная академия связи имени маршала Советского Союза С.М. Буденного" Министерства обороны Российской Федерации | Method for protection of computer networks |
RU2625046C2 (en) * | 2015-12-18 | 2017-07-11 | Федеральное государственное автономное образовательное учреждение высшего образования "Санкт-Петербургский политехнический университет Петра Великого" | Method of multi-threaded network traffic protection and system for its implementation |
RU2649789C1 (en) * | 2017-07-17 | 2018-04-04 | федеральное государственное казенное военное образовательное учреждение высшего образования "Краснодарское высшее военное училище имени генерала армии С.М. Штеменко" Министерства обороны Российской Федерации | Method of computer networks protection |
RU2716220C1 (en) * | 2019-07-22 | 2020-03-06 | федеральное государственное казенное военное образовательное учреждение высшего образования "Краснодарское высшее военное училище имени генерала армии С.М. Штеменко" Министерства обороны Российской Федерации | Method of protecting of computer networks |
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20120117376A1 (en) * | 2001-03-21 | 2012-05-10 | Raytheon Bbn Technologies Corp. | Method and apparatus for anonymous ip datagram exchange using dynamic newtork address translation |
RU2475836C1 (en) * | 2012-03-12 | 2013-02-20 | Федеральное государственное военное образовательное учреждение высшего профессионального образования "Военная академия связи имени маршала Советского Союза С.М. Буденного" Министерства обороны Российской Федерации | Method for protection of computer networks |
RU2625046C2 (en) * | 2015-12-18 | 2017-07-11 | Федеральное государственное автономное образовательное учреждение высшего образования "Санкт-Петербургский политехнический университет Петра Великого" | Method of multi-threaded network traffic protection and system for its implementation |
RU2649789C1 (en) * | 2017-07-17 | 2018-04-04 | федеральное государственное казенное военное образовательное учреждение высшего образования "Краснодарское высшее военное училище имени генерала армии С.М. Штеменко" Министерства обороны Российской Федерации | Method of computer networks protection |
RU2716220C1 (en) * | 2019-07-22 | 2020-03-06 | федеральное государственное казенное военное образовательное учреждение высшего образования "Краснодарское высшее военное училище имени генерала армии С.М. Штеменко" Министерства обороны Российской Федерации | Method of protecting of computer networks |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CA2422334C (en) | Authentication of network users | |
Goher et al. | Covert channel detection: A survey based analysis | |
Sanmorino et al. | DDoS attack detection method and mitigation using pattern of the flow | |
EP3442195B1 (en) | Reliable and secure parsing of packets | |
Praptodiyono et al. | Security mechanism for IPv6 stateless address autoconfiguration | |
CN104917765A (en) | Attack prevention method, and equipment | |
RU2690749C1 (en) | Method of protecting computer networks | |
US20220174072A1 (en) | Data Processing Method and Device | |
Rohatgi et al. | A detailed survey for detection and mitigation techniques against ARP spoofing | |
WO2013172743A1 (en) | Method for protected interaction between a client device and a server via the internet | |
US20040059944A1 (en) | System and method for repelling attack data streams on network nodes in a communications network | |
RU2586840C1 (en) | Method of processing network traffic datagrams for hiding corresponding pairs of subscribers of information-telecommunication systems | |
RU2789810C1 (en) | Method for protection of computer networks | |
Fayyaz et al. | Using JPCAP to prevent man-in-the-middle attacks in a local area network environment | |
RU2805354C1 (en) | Method for protecting computer networks | |
RU2716220C1 (en) | Method of protecting of computer networks | |
RU2686023C1 (en) | Method of protecting computer networks | |
Arjuman et al. | Lightweight secure router discovery mechanism to overcome dos attack in ipv6 network | |
Pilli et al. | Data reduction by identification and correlation of TCP/IP attack attributes for network forensics | |
US11171915B2 (en) | Server apparatus, client apparatus and method for communication based on network address mutation | |
RU2680038C1 (en) | Method of computer networks protection | |
Zhou et al. | Limiting self-propagating malware based on connection failure behavior | |
RU2810193C1 (en) | Method for protecting computer networks | |
Arjmandpanah‐Kalat et al. | Design and performance analysis of an efficient single flow IP traceback technique in the AS level | |
EP2753043A1 (en) | Reverse authorized syn cookie |