RU129279U1 - Устройство обнаружения и защиты от аномальной активности на сети передачи данных - Google Patents

Устройство обнаружения и защиты от аномальной активности на сети передачи данных Download PDF

Info

Publication number
RU129279U1
RU129279U1 RU2013100937/08U RU2013100937U RU129279U1 RU 129279 U1 RU129279 U1 RU 129279U1 RU 2013100937/08 U RU2013100937/08 U RU 2013100937/08U RU 2013100937 U RU2013100937 U RU 2013100937U RU 129279 U1 RU129279 U1 RU 129279U1
Authority
RU
Russia
Prior art keywords
traffic
network
module
activity
analysis
Prior art date
Application number
RU2013100937/08U
Other languages
English (en)
Inventor
Максим Александрович Ващенко
Original Assignee
ОБЩЕСТВО С ОГРАНИЧЕННОЙ ОТВЕТСТВЕННОСТЬЮ "МФИ Софт"
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by ОБЩЕСТВО С ОГРАНИЧЕННОЙ ОТВЕТСТВЕННОСТЬЮ "МФИ Софт" filed Critical ОБЩЕСТВО С ОГРАНИЧЕННОЙ ОТВЕТСТВЕННОСТЬЮ "МФИ Софт"
Priority to RU2013100937/08U priority Critical patent/RU129279U1/ru
Application granted granted Critical
Publication of RU129279U1 publication Critical patent/RU129279U1/ru

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

1. Устройство обнаружения и защиты от аномальной активности на сети передачи данных, характеризующееся тем, что содержит модуль анализа сетевой активности, определяющий проявление аномальной активности на сети передачи данных, используя для этого информацию, передаваемую в сети передачи данных протоколами Netflow, SNMP, BGP, их модификациями и аналогами, а также накопленную в процессе работы заявляемого устройства статистическую информацию, находящуюся в хранилище статистических данных; модуль анализа трафика и модуль фильтрации трафика, которые в процессе своей работы анализируют трафик сети передачи данных, фильтруют и блокируют вредоносный трафик, определенный модулем анализа сетевой активности и определенный при анализе трафика сети передачи данных, применяя алгоритмы обнаружения вредоносного и нежелательного трафика на основе анализа служебной информации протоколов и передаваемой информации, сопоставления ее со стандартами, отслеживания особенности протоколов, обнаружения отклонений от накопленной статистики, а также используя загружаемые и динамически определяемые шаблоны вредоносного трафика, которые хранятся в хранилище типовых аномалии и типовых поведенческих профилей полезного трафика; модуль ввода/вывода, который осуществляет прием и передачу анализируемого трафика и статистической информации сети передачи данных, которые передаются на модули анализа сетевой активности, анализа трафика и фильтрации трафика, для обработки, анализа, фильтрации и блокирования; а также модуль управления, выполняющий настройку, контроль и изменение режимов работы заявляемого устройства.2. Устройство обнар

Description

ОБЛАСТЬ ТЕХНИКИ
Настоящее техническое решение относится к области работы с цифровой информацией, передаваемой по сети передачи данных, а именно к устройствам обнаружения и противодействия сетевым атакам, методом анализа трафика сети на предмет аномальной активности и вредоносного трафика, с целью дальнейшей фильтрации или блокирования вредоносного трафика. Заявляемое техническое решение может быть использовано, в сетях передачи данных различного масштаба и назначения.
УРОВЕНЬ ТЕХНИКИ
Современные сети передачи данных часто сталкиваются с проблемой сетевых атак, которые широко используются злоумышленниками в глобальных сетях, сетях провайдеров и не только. Одними из множества таких атак являются атаки по распространению вредоносных программ (вирусов), атаки по перехвату паролей, атаки по сканированию сетей и операционных систем, а так же атаки «наводнения» сети, такие как атаки отказа сервиса (denial of service или просто DoS) и их разновидности. Атаки подобного рода, являются одними из самых сложных, в части противодействия самой атаке. Так как их основной задачей не является повреждение какой-либо информации. Главной задачей данных атак - является вывод из рабочего состояния атакуемого сервиса, путем истощения его производительных ресурсов, таких так доступная память, полоса пропускания канала связи, количество поддерживаемых клиентских подключений, истощение производительности процессора и других ресурсов, необходимых для работоспособности сервиса. Результатом данных атак, чаще всего, является невозможность предоставления сервиса легальным пользователям. В качестве атакуемого сервиса может выступать как отдельный компьютер, так и целая сеть.
Из предшествующего уровня техники известны технические решения в виде антивирусных продуктов, продуктов по ограничению доступа к сети посредством использования правил доступа, а так же систем предупреждения вторжений, которые осуществляют подготовительные действия, помогающие защитить ресурсы сети от определенного спектра известных атак. Все эти решения, требуют постоянного обновления и контроля актуальности имеющейся информации о существующих атаках.
Известно техническое решение по установке сетевого экрана для защиты сети от вредоносного трафика (патент SECURE COMPUTER NETWORK WITH A NETWORK SCREEN, US 20020087889 A1, G06F 11/30, опубликовано 04.06.2002; патент ВЫЧИСЛИТЕЛЬНАЯ СЕТЬ С МЕЖСЕТЕВЫМ ЭКРАНОМ И МЕЖСЕТЕВОЙ ЭКРАН RU 2214623, G06F 15/163 опубликовано 20.10.2003). Также известно устройство по обеспечению сетевой безопасности (патент NETWORK SECURITY APPLIANCE US 20120151558 A1, G06F 21/00, опубликовано 14.06.2012). Самым главным недостатком, предложенных решений по части защиты сети передачи данных, является то, что данная система способна предупредить сетевую атаку, только посредством установленных правил доступа в сеть.
Также известно техническое решение, в котором реализован метод защиты сети от атак, использующий сенсоры, установленные в сети (патент System and method for reducing false positives during detection of network attacks, US 8151341 B1, H04L 29/06 опубликовано 03.04.2012). В данном техническом решении основным средством определения атаки и вредоносного трафика, являются сенсоры, которые установлены в сети и на основании информации, поступающей с данных сенсоров, принимается решение о наличии в сетевом трафике вредоносного трафика атаки. Недостатками данного технического решения является, защита конкретного компьютера сети, а так же то, что для обнаружения и предупреждения сетевых атак и аномалий, система не использует ничего кроме сенсоров. Поэтому данное решение не является системой, способной анализировать, фильтровать и блокировать вредоносный трафик в сетях передачи данных различного масштаба и назначения.
РАСКРЫТИЕ ПОЛЕЗНОЙ МОДЕЛИ
Технической задачей, на решение которой направленно заявляемое техническое решение, является анализ и обработка сетевого трафика, с целью выявления аномальной активности на сети, эффективное обнаружение сетевых атак, направленных на выведение из рабочего состояния различных сетевых сервисов, а также эффективное противодействие данным сетевым атакам.
Данная задача решается за счет того, что заявляемое устройство обнаружения и защиты от аномальной активности на сети передачи данных, характеризующееся тем, что содержит модуль анализа сетевой активности, определяющий проявление аномальной активности на сети передачи данных, используя для этого информацию, передаваемую в сети передачи данных протоколами Netflow, SNMP, BGP, их модификациями и аналогами, а также накопленную, в процессе работы заявляемого устройства, статистическую информацию, находящуюся в хранилище статистических данных; модуль анализа трафика и модуль фильтрации трафика, которые в процессе своей работы анализируют трафик сети передачи данных, фильтруют и блокируют вредоносный трафик, определенный модулем анализа сетевой активности и определенный при анализе трафика сети передачи данных, применяя алгоритмы обнаружения вредоносного и нежелательного трафика на основе анализа служебной информации протоколов и передаваемой информации, сопоставления ее со стандартами, отслеживания особенности протоколов, обнаружения отклонений от накопленной статистики, а так же используя загружаемые и динамически определяемые шаблоны вредоносного трафика, которые хранятся в хранилище типовых аномалии и типовых поведенческих профилей полезного трафика; модуль ввода/вывода, который осуществляет прием и передачу анализируемого трафика и статистической информации сети передачи данных, которые передаются на модули анализа сетевой активности, анализа трафика и фильтрации трафика, для обработки, анализа, фильтрации и блокирования; а также модуль управления, выполняющий, настройку, контроль и изменение режимов работы заявляемого устройства. В качестве способа подключения к сети передачи данных, могут быть использованы способы подключения модуля ввода/вывода в разрыв сети передачи данных и подключение к устройству изменения пути прохождения трафика. В качестве вариантов исполнения данного устройства могут быть: устройство обнаружения и защиты от аномальной активности на сети передачи данных без модуля анализа сетевой активности, осуществляющее непрерывный анализ и фильтрацию трафика; устройство обнаружения и защиты от аномальной активности на сети передачи данных без модулей анализа и фильтрации сетевого трафика, в котором модуль анализа сетевой активности при обнаружении аномалии в сетевом трафике, выдает только оповещение об аномальной активности.
Техническим результатом, обеспечиваемым приведенной совокупностью признаков, является эффективное и своевременное обнаружение сетевых атак, направленных на вывод из рабочего состояния защищаемых сетевых сервисов, а также эффективное противодействие данным сетевым атакам, путем фильтрации и блокирования вредоносного трафика, участвующего в сетевых атаках на защищаемый сетевой сервис.
КРАТКОЕ ОПИСАНИЕ ЧЕРТЕЖЕЙ
Сущность заявляемого технического решения поясняется чертежами, на которых изображены:
На Фиг.1 - Структурная схема устройства обнаружения и защиты от аномальной активности на сети передачи данных;
На Фиг.2 - Блок схема процесса работы модуля анализа сетевой активности;
На Фиг.3а - График количества обращений к сервису, при нормальном поведении сети передачи данных;
На Фиг.3б - График количества обращений к сервису, при аномальном поведении сети передачи данных;
На Фиг.4 - Блок схема процесса работы по анализу и фильтрации трафика.
ОСУЩЕСТВЛЕНИЕ ПОЛЕЗНОЙ МОДЕЛИ
Устройство обнаружения и защиты от аномальной активности на сети передачи данных имеет структурную схему, показанную на Фиг.1. Само заявляемое устройство 100 имеет в своем составе модуль ввода/вывода 101, который обеспечивает подключение заявляемого устройства, либо напрямую в разрыв, между контролируемой 110 и внутренней (защищаемой) 130 сетями передачи данных, либо к устройству захвата и перенаправления трафика 120, которое перенаправляет необходимый трафик на заявляемое устройство. Также посредством модуля ввода вывода 101, заявляемое устройство принимает статистическую информацию о сети передачи данных посредством протоколов NetFlow, SNMP, BGP, их модификаций и аналогов, а так же обменивается маршрутной информацией по протоколу маршрутизации BGP 108, что в дальнейшем позволяет применить методы анализа трафика. Так же в состав устройства входят: модуль анализа сетевой активности 102, который соединен с хранилищем статистических данных 105; модуль анализа трафика 103, соединенный с хранилищем типовых аномалий и типовых поведенческих профилей полезного трафика 106, который применяет методы анализа трафика и определения сетевых атак в самом передаваемом трафике; модуль фильтрации трафика 104, который на основании управляющих сигналов модулей анализа трафика и анализа сетевой активности, применяет методы фильтрации и блокирования вредоносного трафика. Еще одним элементом заявляемого устройства, является модуль управления 107, на который возложены функции настройки и контроля работы заявляемого устройства. На Фиг.1 так же показана внешняя сеть 140, которая не является контролируемой сетью. То есть, у заявляемого устройства нет возможности получить какую-либо полезную информацию о сети, но которая является источником трафика, с большой долей вероятности содержащего вредоносный трафик или трафик, участвующий в сетевой атаке на защищаемую сеть.
Далее будет рассмотрена, более подробно, работа каждого модуля. Работа модулей будет рассматриваться на уровне доступном для специалиста, имеющего базовые знания в сетевых технологиях. Детализация рассмотрения будет не более чем на уровне логики работы каждого модуля, что достаточно для понимания основных принципов работы заявляемого устройства.
Одной из функций заявляемого устройства, является анализ сетевой активности контролируемой сети. Главной целью данной функции - является выявление аномального поведения сети, путем анализа статистических данных, получаемых от активного оборудования контролируемой сети 110, которое передает статистическую информацию 108 посредством протоколов NetFlow, SNMP, BGP, их модификаций и аналогов, и из хранилища статистических данных 105, данные в котором накапливаются в процессе работы заявляемого устройства. Выполнение данной функции возложено на модуль анализа сетевой активности 102. Данный модуль представляет собой программно-аппаратный блок, процесс работы которого представлен в виде блок-схемы на Фиг.2 и будет рассмотрен далее более подробно. В первую очередь модуль анализа сетевой активности 102 производит инициализацию работы 201, руководствуясь настройками, которые передает ему модуль управления заявляемого устройства. Данная процедура представляет собой установку начальных параметров, таких как опрашиваемые узлы сети, параметры опроса, настройки хранилища, в которое сохраняется получаемая информация, настройки протоколов NetFlow, SNMP, BGP, их модификации и аналогов, загружается информация об известных уязвимостях, шаблонах атак, известных сетях, распространяющих вредоносный трафик. Операции, выполняемые модулем анализа сетевой активности при инициализации работы, не ограничиваются представленным набором. Данный набор приведен в качестве примера, с целью пояснения задач, которые выполняются при инициализации. Далее процесс работы разделяется на несколько независимо выполняемых процедур, основной целью которых является сбор и накопление информации о сети, используя различные способы и протоколы, такие как NetFlow, SNMP, BGP, их модификации и аналоги, а так же комбинации различных способов. Следует отметить, что сбор и накопление информации происходит непрерывно, на протяжении всего времени работы модуля. Рассмотрим выполнение данных процедур более подробно на примере сбора и накопления информации по протоколу NetFlow. Данная процедура 202, выполняет функцию по получению, структурированию и сохранению информации, передаваемой по протоколу Neflow, в хранилище статистических данных. Данная информация включает в себя, все данные, которые позволяет собрать протокол. Этими данными могут быть адреса источников и получателей, порты, количество переданной информации, сетевые порты на которые передаются и с которых принимаются пакеты данных, а также остальные параметры, которые передаются по данному протоколу. Накопленная информация, позволяет в дальнейшем анализировать трафик и сравнивать его с накопленными данными. Данное использование помогает определить аномальную активность на сети, используя различные методы, такие как проверка наличия шаблонов аномалий в трафике, отклонение поведения сети от среднестатистического поведения, которое определяется путем анализа накопленной информации и текущего трафика, определение превышения порогов поведения сети по различным типам трафика, постоянный анализ и корректировка профилей поведения. Данный список применяемых методов не является окончательным, и служит только в качестве примера, который показывает широкий спектр применяемых методов определения аномальной активности, которые используют в качестве основного источника информации, передаваемые и накапливаемые посредством протокола NetFlow данные 202.
Основной принцип выполнения процедуры сбора и накопления информации по протоколу SNMP 203, не имеет существенных различий с процедурой 202. Так же как и в случае с протоколом Netflow, процедурой 203 производится сбор и сохранение статистической информации сети, для дальнейшего анализа данной информации при определении и выявлении аномальной активности трафика.
Процедура получения маршрутной информации и статистики по протоколу BGP 204 несколько отличается от процедур 202 и 203. Основная задача остается той же самой, что и в случае с протоколами SNMP и Netflow. Но сам процесс выполнения данной процедуры несколько отличается. В процедурах 202 и 203 основной способ получения информации это структурирование и анализ параметров сети, которые передают используемые протоколы. В случае с протоколом BGP выполняется процедура получения маршрутной информации со всех маршрутизаторов, в которых произведена настройка на передачу и обмен маршрутной информацией с заявляемым устройством. После того как маршрутная информация будет собрана, она может применяться для выявления аномалий и атак, путем отслеживания изменений данной информации в сети, признаком атак в данном случае будет являться аномальное поведение маршрутной информации, например слишком частое и необоснованное изменение маршрутов.
После того как объем статистической информации сети, необходимый для анализа и выявления аномалий текущего трафика, собран. Модуль анализа сетевой активности начинает процедуру анализа текущего трафика 205. Основной принцип выполнения данной процедуры заключается в получении текущей информации посредством протоколов Netflow, SNMP, BGP, их модификаций и аналогов и просмотр данной информации, для сравнения с информацией, которая накоплена в хранилище статистической информации. Процедура сравнения 206 выполняется с применением различных статических либо динамических методов, которые позволяют, опираясь на накопленную статистику и получаемую текущую информацию сети, определить появление аномальной активности. Рассмотреть основной принцип работы данных методов можно на следующем примере. Допустим, в защищаемой сети существует сетевой сервис, который предоставляет услуги сетевого ресурса, он имеет определенный сетевой адрес. Заявляемое устройство непрерывно анализирует и накапливает статистику трафика, на основе которой строится график сетевых обращений в зависимости от времени. Данный график показан на Фиг.3а. Модуль рассчитывает среднее значение обращений и, на основе данного значения, выставляет динамически определяемый порог количества обращений в единицу времени 301. Если данный порог не превышается, как показано на Фиг.3а, то модуль, на этапе анализе присутствия аномалии 207, принимает решение о том, что трафик не является аномальным. Если аномалии в трафике не выявлены, модуль продолжает анализировать трафик и накапливать статистическую информацию, корректируя динамически определяемый порог 301. В случае, когда количество обращений к сервису резко возрастает 302, как показано на Фиг.3б и превышает динамически установленный порог 301, модуль анализа трафика принимает решение о наличии аномалии и переходит к этапу предупреждения об аномальной активности и выдаче управляющих сигналов для фильтрации и блокирования аномального трафика 208. Весь процесс работы модуля происходит непрерывно. Модуль постоянно накапливает статистику, анализирует трафик на предмет аномальной активности и в случае появления аномалий принимает действия, которые были предусмотрены на этапе инициализации.
Далее будет рассмотрена работа модуля анализа трафика 103 и модуля фильтрации трафика 104, процесс которой показан на Фиг.4. Два данных модуля непосредственно участвуют в определении вредоносного трафика, его фильтрации и блокировании. Они могут работать как совместно с модулем анализа сетевой активности 102, получая от него управляющие сигналы, так и отдельно от него, постоянно выполняя анализ и фильтрацию проходящего через них трафика. На этапе 401 происходит установка начальных параметров, данные параметры устанавливаются модулем управления заявляемого устройства и используются модулем анализа трафика, для инициализации работы. На этапах 402-404, происходит постоянная проверка и сбор параметров сетевых пакетов, составление статистики трафика и поведенческих профилей. Вся собранная и составленная информация сохраняется в хранилище типовых аномалий и типовых поведенческих профилей полезного трафика 106, которое показано на Фиг.1. Данная информация будет в дальнейшем использоваться при определении аномалии и выявлении сетевой атаки. На этапе 403 происходит определение наличия аномальной активности трафика. Это может происходить двумя путями. Либо принимается управляющее воздействие модуля анализа сетевой активности 102 и параметры аномального трафика, в случае если данный модуль присутствует, либо модуль анализа трафика сам принимает решение о наличии аномальной активности, в случае если модуль анализа сетевой активности не используется. Во втором случае, трафик должен постоянно проходить через заявляемое устройство. На этапе 403 модулем анализа трафика используются эвристические алгоритмы, которые на основе имеющихся данных в хранилище типовых аномалий и типовых поведенческих профилей полезного трафика и получаемого трафика определяют аномальное поведение. После проведения определения аномальной активности, принимается решение о наличии аномалии 404. Если аномальной активности не определено, то этапы 402-404 будут повторяться циклически. Если аномальная активность зафиксирована, то работа переходит к определению атаки и противодействия ей. Первым этапом по противодействию сетевой атаке, является обнуление счетчика уровня атаки 405, который ведется модулем анализа трафика и служит для контроля уровня фильтрации трафика, участвующего в атаке. На этапе применения имеющихся шаблонов 406, модуль анализа трафика определяет присутствие шаблонов сетевых аномалий в трафике. Модуль анализа трафика использует различные типы шаблонов, которые находятся в хранилище типовых аномалий и типовых поведенческих профилей полезного трафика. Данные шаблоны хранятся в иерархическом порядке от более до менее ограниченных. После определения аномалии, в течение короткого промежутка времени, модуль анализа трафика проверяет факт продолжения аномалии и принимает решение о том, является ли аномалия временной 407. Если аномалия является временной и в течение короткого промежутка времени, установленного модулем управления заявляемого устройства, аномалия закончилась, то модуль анализа трафика переходит к этапу 401, и процесс поиска аномальной активности в сети возобновляется. Если аномальная активность продолжается, то модуль анализа трафика 103 переходит к выдаче управляющих сигналов на модуль фильтрации трафика 104, для осуществления фильтрации трафика по шаблонам 408, которые были определены на этапе 406. Модуль анализа трафика 103 направляет модулю фильтрации трафика 104 определенный набор шаблонов аномалий, который основывается на значении счетчика уровня атаки. Когда данный счетчик имеет минимальное значение, модуль фильтрации применяет узкий спектр шаблонов для фильтрации, с целью минимизации вероятности блокирования и фильтрации полезного трафика. При увеличении значения данного счетчика 411, спектр применяемых шаблонов аномалий постепенно расширяется. Модуль анализа трафика, проверяет трафик после фильтрации, с целью определения эффективности фильтрации трафика. Данная проверка проводится на этапе 409. Если при данной проверке модуль анализа трафика принимает решение о том, что, не смотря на применение фильтрации, сетевая атака продолжается, модуль анализа трафика переходит к определению об изменении уровня атаки 410. Изменение уровня атаки, в данном контексте, означает, что совместно с определенной ранее атакой, появилась еще одна атака, либо определенная атака имеет несколько уровней. Если модуль анализа трафика принимает решение об изменении уровня атаки, то он переходит к этапу 406, на котором применяет шаблоны аномалий к новой атаке. Если же на этапе 410 принимается решение о том, что второй атаки не присутствует, то уровень атаки не изменился. Однако фильтрация трафика не имела должного эффекта и атака продолжается. Основываясь на этом решении, модуль анализа трафика увеличивает значения счетчика уровня атаки. После этого процесс снова переходит к этапу 406, с более высоким значением счетчика уровня атаки. И на основании данного счетчика, модулем анализа трафика выбирается более широкий спектр шаблонов аномалий, и модуль фильтрации применяет более жесткое фильтрование трафика, основываясь на значении счетчика уровня атаки. Данный процесс будет повторяться до тех пор, пока атака не будет успешно отфильтрована, либо пока счетчик уровня атаки не достигнет своего максимального значения, которое установлено модулем управления заявляемого устройства на этапе 401, при установке начальных параметров. Во втором случае, если счетчик достиг своего максимального значения, а фильтрация не эффективна, то модуль анализа трафика может выдать управляющий сигнал модулю фильтрации о блокировании всего трафика, идущего по определенному протоколу на определенный порт или с определенного адреса. Если модуль анализа трафика определяет, что фильтрация успешна и атака в отфильтрованном трафике отсутствует, то модуль анализа трафика переходит к этапу мониторинга трафика 412. На данном этапе модуль анализа трафика анализирует и сравнивает трафик, идущий из сети, и трафик, идущий после фильтрации. Для определения завершения атаки, решения о котором принимается на этапе 413. Если принимается решение о том, что атака продолжается, то модуль переходит на этап 410, и процесс определения атаки повторяется. Если принимается решения о том, что атака прекратилась, и аномальная активность отсутствует, то модуль анализа трафика переходит на этап завершения фильтрации 414. На данном этапе выдается управляющий сигнал на модуль фильтрации о прекращении фильтрации трафика, после этого весь процесс переходит к этапу 401, где сверяются начальные параметры с текущими параметрами, и снова начинается процесс по анализу трафика и определению аномальной активности 402-403. В данных этапах работы и состоит основной принцип выполнения фильтрации трафика посредством модуля фильтрации 104 и модуля анализа трафика 103.
Таким образом, заявляемое устройство осуществляет эффективное и своевременное обнаружение аномального поведения сетевого трафика и выявление в нем сетевых атак, направленных на вывод из рабочего состояния защищаемых сетевых сервисов, а также эффективное противодействие данным сетевым атакам, путем фильтрации и блокирования вредоносного трафика, участвующего в сетевых атаках на защищаемый сетевой сервис.

Claims (5)

1. Устройство обнаружения и защиты от аномальной активности на сети передачи данных, характеризующееся тем, что содержит модуль анализа сетевой активности, определяющий проявление аномальной активности на сети передачи данных, используя для этого информацию, передаваемую в сети передачи данных протоколами Netflow, SNMP, BGP, их модификациями и аналогами, а также накопленную в процессе работы заявляемого устройства статистическую информацию, находящуюся в хранилище статистических данных; модуль анализа трафика и модуль фильтрации трафика, которые в процессе своей работы анализируют трафик сети передачи данных, фильтруют и блокируют вредоносный трафик, определенный модулем анализа сетевой активности и определенный при анализе трафика сети передачи данных, применяя алгоритмы обнаружения вредоносного и нежелательного трафика на основе анализа служебной информации протоколов и передаваемой информации, сопоставления ее со стандартами, отслеживания особенности протоколов, обнаружения отклонений от накопленной статистики, а также используя загружаемые и динамически определяемые шаблоны вредоносного трафика, которые хранятся в хранилище типовых аномалии и типовых поведенческих профилей полезного трафика; модуль ввода/вывода, который осуществляет прием и передачу анализируемого трафика и статистической информации сети передачи данных, которые передаются на модули анализа сетевой активности, анализа трафика и фильтрации трафика, для обработки, анализа, фильтрации и блокирования; а также модуль управления, выполняющий настройку, контроль и изменение режимов работы заявляемого устройства.
2. Устройство обнаружения и защиты от аномальной активности на сети передачи данных по п.1, отличающееся тем, что модуль ввода/вывода подключается в разрыв сети передачи данных.
3. Устройство обнаружения и защиты от аномальной активности на сети передачи данных по п.1, отличающееся тем, что модуль ввода/вывода подключается к устройству изменения пути прохождения трафика.
4. Устройство обнаружения и защиты от аномальной активности на сети передачи данных по п.1, отличающееся тем, что отсутствует модуль анализа сетевой активности, а модули анализа и фильтрации трафика осуществляют непрерывный анализ и фильтрацию трафика.
5. Устройство обнаружения и защиты от аномальной активности на сети передачи данных по п.1, отличающееся тем, что отсутствуют модули анализа и фильтрации трафика, а модуль анализа сетевой активности, при обнаружении аномалии в сетевом трафике, выдает только оповещение об аномальной активности.
Figure 00000001
RU2013100937/08U 2013-01-09 2013-01-09 Устройство обнаружения и защиты от аномальной активности на сети передачи данных RU129279U1 (ru)

Priority Applications (1)

Application Number Priority Date Filing Date Title
RU2013100937/08U RU129279U1 (ru) 2013-01-09 2013-01-09 Устройство обнаружения и защиты от аномальной активности на сети передачи данных

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
RU2013100937/08U RU129279U1 (ru) 2013-01-09 2013-01-09 Устройство обнаружения и защиты от аномальной активности на сети передачи данных

Publications (1)

Publication Number Publication Date
RU129279U1 true RU129279U1 (ru) 2013-06-20

Family

ID=48787106

Family Applications (1)

Application Number Title Priority Date Filing Date
RU2013100937/08U RU129279U1 (ru) 2013-01-09 2013-01-09 Устройство обнаружения и защиты от аномальной активности на сети передачи данных

Country Status (1)

Country Link
RU (1) RU129279U1 (ru)

Cited By (27)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2546236C2 (ru) * 2013-08-05 2015-04-10 Государственное казенное образовательное учреждение высшего профессионального образования Академия Федеральной службы охраны Российской Федерации (Академия ФСО России) Способ анализа информационного потока и определения состояния защищенности сети на основе адаптивного прогнозирования и устройство для его осуществления
WO2015160383A1 (en) * 2008-06-10 2015-10-22 Clio Tech Inc. A network gateway and method for inspecting frames in communication network
RU2634209C1 (ru) * 2016-09-19 2017-10-24 Общество с ограниченной ответственностью "Группа АйБи ТДС" Система и способ автогенерации решающих правил для систем обнаружения вторжений с обратной связью
RU2678154C1 (ru) * 2014-01-15 2019-01-23 МАЙКРОСОФТ ТЕКНОЛОДЖИ ЛАЙСЕНСИНГ, ЭлЭлСи Основанная на конфиденциальности деградация сигналов активности и автоматическая активация режимов конфиденциальности
US10430588B2 (en) 2016-07-06 2019-10-01 Trust Ltd. Method of and system for analysis of interaction patterns of malware with control centers for detection of cyber attack
US10721251B2 (en) 2016-08-03 2020-07-21 Group Ib, Ltd Method and system for detecting remote access during activity on the pages of a web resource
US10721271B2 (en) 2016-12-29 2020-07-21 Trust Ltd. System and method for detecting phishing web pages
US10762352B2 (en) 2018-01-17 2020-09-01 Group Ib, Ltd Method and system for the automatic identification of fuzzy copies of video content
US10778719B2 (en) 2016-12-29 2020-09-15 Trust Ltd. System and method for gathering information to detect phishing activity
RU2743974C1 (ru) * 2019-12-19 2021-03-01 Общество с ограниченной ответственностью "Группа АйБи ТДС" Система и способ сканирования защищенности элементов сетевой архитектуры
US10958684B2 (en) 2018-01-17 2021-03-23 Group Ib, Ltd Method and computer device for identifying malicious web resources
US11005779B2 (en) 2018-02-13 2021-05-11 Trust Ltd. Method of and server for detecting associated web resources
US11122061B2 (en) 2018-01-17 2021-09-14 Group IB TDS, Ltd Method and server for determining malicious files in network traffic
US11153351B2 (en) 2018-12-17 2021-10-19 Trust Ltd. Method and computing device for identifying suspicious users in message exchange systems
US11151581B2 (en) 2020-03-04 2021-10-19 Group-Ib Global Private Limited System and method for brand protection based on search results
US11250129B2 (en) 2019-12-05 2022-02-15 Group IB TDS, Ltd Method and system for determining affiliation of software to software families
RU2777882C2 (ru) * 2020-10-06 2022-08-11 Общество с ограниченной ответственностью "Айкриэйт" Система сбора, принятия решений и передачи данных
US11431749B2 (en) 2018-12-28 2022-08-30 Trust Ltd. Method and computing device for generating indication of malicious web resources
US11451580B2 (en) 2018-01-17 2022-09-20 Trust Ltd. Method and system of decentralized malware identification
US11503044B2 (en) 2018-01-17 2022-11-15 Group IB TDS, Ltd Method computing device for detecting malicious domain names in network traffic
US11526608B2 (en) 2019-12-05 2022-12-13 Group IB TDS, Ltd Method and system for determining affiliation of software to software families
US11755700B2 (en) 2017-11-21 2023-09-12 Group Ib, Ltd Method for classifying user action sequence
US11847223B2 (en) 2020-08-06 2023-12-19 Group IB TDS, Ltd Method and system for generating a list of indicators of compromise
US11934498B2 (en) 2019-02-27 2024-03-19 Group Ib, Ltd Method and system of user identification
US11947572B2 (en) 2021-03-29 2024-04-02 Group IB TDS, Ltd Method and system for clustering executable files
US11985147B2 (en) 2021-06-01 2024-05-14 Trust Ltd. System and method for detecting a cyberattack
US12088606B2 (en) 2021-06-10 2024-09-10 F.A.C.C.T. Network Security Llc System and method for detection of malicious network resources

Cited By (31)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2015160383A1 (en) * 2008-06-10 2015-10-22 Clio Tech Inc. A network gateway and method for inspecting frames in communication network
RU2546236C2 (ru) * 2013-08-05 2015-04-10 Государственное казенное образовательное учреждение высшего профессионального образования Академия Федеральной службы охраны Российской Федерации (Академия ФСО России) Способ анализа информационного потока и определения состояния защищенности сети на основе адаптивного прогнозирования и устройство для его осуществления
RU2678154C1 (ru) * 2014-01-15 2019-01-23 МАЙКРОСОФТ ТЕКНОЛОДЖИ ЛАЙСЕНСИНГ, ЭлЭлСи Основанная на конфиденциальности деградация сигналов активности и автоматическая активация режимов конфиденциальности
US10268826B2 (en) 2014-01-15 2019-04-23 Microsoft Technology Licensing Llc Privacy-based degradation of activity signals and automatic activation of privacy modes
US10430588B2 (en) 2016-07-06 2019-10-01 Trust Ltd. Method of and system for analysis of interaction patterns of malware with control centers for detection of cyber attack
US10721251B2 (en) 2016-08-03 2020-07-21 Group Ib, Ltd Method and system for detecting remote access during activity on the pages of a web resource
RU2634209C1 (ru) * 2016-09-19 2017-10-24 Общество с ограниченной ответственностью "Группа АйБи ТДС" Система и способ автогенерации решающих правил для систем обнаружения вторжений с обратной связью
US10581880B2 (en) 2016-09-19 2020-03-03 Group-Ib Tds Ltd. System and method for generating rules for attack detection feedback system
US10721271B2 (en) 2016-12-29 2020-07-21 Trust Ltd. System and method for detecting phishing web pages
US10778719B2 (en) 2016-12-29 2020-09-15 Trust Ltd. System and method for gathering information to detect phishing activity
US11755700B2 (en) 2017-11-21 2023-09-12 Group Ib, Ltd Method for classifying user action sequence
US11122061B2 (en) 2018-01-17 2021-09-14 Group IB TDS, Ltd Method and server for determining malicious files in network traffic
US11451580B2 (en) 2018-01-17 2022-09-20 Trust Ltd. Method and system of decentralized malware identification
US10762352B2 (en) 2018-01-17 2020-09-01 Group Ib, Ltd Method and system for the automatic identification of fuzzy copies of video content
US10958684B2 (en) 2018-01-17 2021-03-23 Group Ib, Ltd Method and computer device for identifying malicious web resources
US11503044B2 (en) 2018-01-17 2022-11-15 Group IB TDS, Ltd Method computing device for detecting malicious domain names in network traffic
US11475670B2 (en) 2018-01-17 2022-10-18 Group Ib, Ltd Method of creating a template of original video content
US11005779B2 (en) 2018-02-13 2021-05-11 Trust Ltd. Method of and server for detecting associated web resources
US11153351B2 (en) 2018-12-17 2021-10-19 Trust Ltd. Method and computing device for identifying suspicious users in message exchange systems
US11431749B2 (en) 2018-12-28 2022-08-30 Trust Ltd. Method and computing device for generating indication of malicious web resources
US11934498B2 (en) 2019-02-27 2024-03-19 Group Ib, Ltd Method and system of user identification
US11526608B2 (en) 2019-12-05 2022-12-13 Group IB TDS, Ltd Method and system for determining affiliation of software to software families
US11250129B2 (en) 2019-12-05 2022-02-15 Group IB TDS, Ltd Method and system for determining affiliation of software to software families
US11356470B2 (en) 2019-12-19 2022-06-07 Group IB TDS, Ltd Method and system for determining network vulnerabilities
RU2743974C1 (ru) * 2019-12-19 2021-03-01 Общество с ограниченной ответственностью "Группа АйБи ТДС" Система и способ сканирования защищенности элементов сетевой архитектуры
US11151581B2 (en) 2020-03-04 2021-10-19 Group-Ib Global Private Limited System and method for brand protection based on search results
US11847223B2 (en) 2020-08-06 2023-12-19 Group IB TDS, Ltd Method and system for generating a list of indicators of compromise
RU2777882C2 (ru) * 2020-10-06 2022-08-11 Общество с ограниченной ответственностью "Айкриэйт" Система сбора, принятия решений и передачи данных
US11947572B2 (en) 2021-03-29 2024-04-02 Group IB TDS, Ltd Method and system for clustering executable files
US11985147B2 (en) 2021-06-01 2024-05-14 Trust Ltd. System and method for detecting a cyberattack
US12088606B2 (en) 2021-06-10 2024-09-10 F.A.C.C.T. Network Security Llc System and method for detection of malicious network resources

Similar Documents

Publication Publication Date Title
RU129279U1 (ru) Устройство обнаружения и защиты от аномальной активности на сети передачи данных
US9130982B2 (en) System and method for real-time reporting of anomalous internet protocol attacks
CN106713216B (zh) 流量的处理方法、装置及系统
US7624447B1 (en) Using threshold lists for worm detection
US20160182542A1 (en) Denial of service and other resource exhaustion defense and mitigation using transition tracking
US8087085B2 (en) Wireless intrusion prevention system and method
US7743415B2 (en) Denial of service attacks characterization
US20100251370A1 (en) Network intrusion detection system
US20060137009A1 (en) Stateful attack protection
JP6168977B2 (ja) 異常なインターネットプロトコル攻撃のリアルタイム報告を行うシステム及び方法
US20200274902A1 (en) Methods, systems, and computer readable media for dynamically remediating a security system entity
US10462166B2 (en) System and method for managing tiered blacklists for mitigating network attacks
Bavani et al. Statistical approach based detection of distributed denial of service attack in a software defined network
Tiruchengode Dynamic approach to defend against distributed denial of service attacks using an adaptive spin lock rate control mechanism
Oo et al. Effective detection and mitigation of SYN flooding attack in SDN
Mohan et al. Complex event processing based hybrid intrusion detection system
Ono et al. A design of port scan detection method based on the characteristics of packet-in messages in openflow networks
KR20110028106A (ko) 접속 이력 기반 분산 서비스 공격 트래픽 제어 장치 및 그 방법
KR20020072618A (ko) 네트워크 기반 침입탐지 시스템
Irum et al. DDoS detection and prevention in internet of things
US8095981B2 (en) Worm detection by trending fan out
KR20080040257A (ko) 네트워크 수준의 웜, 바이러스 조기 탐지 방법 및 장치
Oo et al. Flooding attack detection and mitigation in SDN with modified adaptive threshold algorithm
Asgari et al. DDoS Attack Detection in OpenFlow Based Networks
US11997133B2 (en) Algorithmically detecting malicious packets in DDoS attacks

Legal Events

Date Code Title Description
PD9K Change of name of utility model owner
PC91 Official registration of the transfer of exclusive right (utility model)

Effective date: 20180528

TE9K Change of address for correspondence (utility model)

Effective date: 20200810