RU133954U1 - Устройство защиты сети - Google Patents

Устройство защиты сети Download PDF

Info

Publication number
RU133954U1
RU133954U1 RU2013120643/08U RU2013120643U RU133954U1 RU 133954 U1 RU133954 U1 RU 133954U1 RU 2013120643/08 U RU2013120643/08 U RU 2013120643/08U RU 2013120643 U RU2013120643 U RU 2013120643U RU 133954 U1 RU133954 U1 RU 133954U1
Authority
RU
Russia
Prior art keywords
network
unit
block
traffic
filtering
Prior art date
Application number
RU2013120643/08U
Other languages
English (en)
Inventor
Андрей Геннадьевич Владыко
Иван Дмитриевич Летенко
Сергей Михайлович Доценко
Original Assignee
Федеральное государственное образовательное бюджетное учреждение высшего профессионального образования "Санкт-Петербургский государственный университет телекоммуникаций им. проф. М.А. Бонч-Бруевича" (СПбГУТ)
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Федеральное государственное образовательное бюджетное учреждение высшего профессионального образования "Санкт-Петербургский государственный университет телекоммуникаций им. проф. М.А. Бонч-Бруевича" (СПбГУТ) filed Critical Федеральное государственное образовательное бюджетное учреждение высшего профессионального образования "Санкт-Петербургский государственный университет телекоммуникаций им. проф. М.А. Бонч-Бруевича" (СПбГУТ)
Priority to RU2013120643/08U priority Critical patent/RU133954U1/ru
Application granted granted Critical
Publication of RU133954U1 publication Critical patent/RU133954U1/ru

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

Устройство защиты сети, содержащее процессор сетевой безопасности, связанный сетевыми интерфейсами с внешней и защищенной сетями, при этом в процессор сетевой безопасности входят связанные двунаправленными шинами блок обнаружения атак, блок разработки сигнатур и блок фильтрации, отличающееся тем, что в процессор сетевой безопасности введен блок активной защиты, причем соответствующие входные и выходные порты трафика блока фильтрации являются соответственно входными и выходными шинами процессора сетевой безопасности для подключения сетевых интерфейсов, управляющие порты блока обнаружения атак, блока фильтрации и блока активной защиты связаны с соответствующими портами блока управления и разработки сигнатур, который, в свою очередь, связан портами трафика с блоком активной защиты и блоком фильтрации, связанным также портом трафика с блоком обнаружения атак, при этом блок активной защиты выполнен с возможностью анализа заголовков протокола HTTP, интенсивности и скорости запросов этого протокола от клиента к серверу, размера сообщений методов POST и их адекватности для различных случаев использования.

Description

Предлагаемое устройство защиты сети относится к системам информационной безопасности и может быть использовано для защиты компьютерных сетей и веб-серверов от различных видов атак, таких как сканирование портов, работа сетевых червей и атак на отказ в обслуживании (DDoS атак).
Практически все известные изобретения связаны с решением в процессе управления системами обеспечения информационной безопасности задач в условиях неопределенности, будь то определение принадлежности некоторого объекта к известному классу объектов или некоторой функции к известному классу функций. Чаще всего в распоряжении лица, управляющего информационной безопасностью, имеется определенный набор действий, характеризуемых той или иной совокупностью параметров, и задача состоит в выборе определенного действия из набора известных с конкретными значениями параметров. Применение методов нечеткой логики должно повысить долю эффективных управленческих решений, т.е. решений, приводящих к уменьшению ущерба от нарушений безопасности информации, (патенты, в которых возможно обучение).
Приведем и рассмотрим наиболее характерные решения.
Известна система централизованных автоматизированных настройки, контроля и анализа безопасности информационных систем (см. 1. патент на изобретение РФ №2390839, М. кл. G01F 21/00, опубл. 27.05.2010 г.), которая предусматривает формирование типовых шаблонов и политик безопасности; выявление противоречий правил политик безопасности; настройку и фиксацию конфигурационных параметров безопасности в соответствии с заданными требованиями безопасности; контроль и анализ выполнения требований безопасности; выявление и описание связанных с конфигурационными параметрами нарушений безопасности; формирование инструкций по их устранению, устранение выявленных нарушений путем настройки конфигурационных параметров безопасности.
Для этого система содержит блок управления конфигурационными параметрами безопасности и центральный блок контроля и анализа безопасности, содержащий модуль управления системой, модуль сетевого взаимодействия и безопасности системы, модуль процессора безопасности и модуль формирования отчетов, при этом в состав блока управления конфигурационными параметрами безопасности дополнительно включены модули, осуществляющие автоматизированную настройку конфигурационных параметров безопасности по заданным составу и значениям конфигурационных параметров безопасности, а также по уровням доступа субъектов к объектам, в совокупность модулей, образующих центральный блок, дополнительно включен модуль, обеспечивающий контроль целостности программного состава системы, идентификацию модулей управления конфигурационными параметрами безопасности и защиту передаваемых данных, в модуле управления системой дополнительно предусмотрено определение типа операционной среды информационной системы и подключение дополнительного модуля описания модели контроля и управления доступом операционной среды, интерактивное взаимодействие с дополнительно введенным модулем редактирования требований безопасности, а также каталогизированное хранение зафиксированных состояний, шаблонов безопасности, политик безопасности и формируемых отчетов; в модуле описания модели контроля и управления доступом операционной среды для соответствующего типа операционной среды дополнительно предусмотрено определение правил расчета уровней доступа субъекта к объекту на основе зафиксированного состояния операционной среды; в модуле процессора безопасности дополнительно предусмотрены функции расчета уровней доступа на множестве конфигурационных параметров безопасности, проверки выполнения условий безопасности системы, заданных в виде критериев из типовых шаблонов и политик безопасности, сопоставления зафиксированных состояний, оценки эффективности администрирования системы, выявления нарушений безопасности и их составов; в модуле формирования отчетов дополнительно предусмотрена возможность осуществления обратной связи через модуль управления и модуль сетевого взаимодействия и безопасности системы с модулями управления конфигурационными параметрами для осуществления настройки конфигурационных параметров безопасности с целью исправления обнаруженных нарушений безопасности.
Однако в данной системе отсутствует возможность ее обучаемости и гибких правил принятия решения.
Известна система анализа информационной безопасности (см. 2. патент на изобретение США №7047423, М. кл.G06Т 15/00, G06F 15/173, опубл. 16.05.2006 г.), которая действует в пассивном режиме и предоставляет методологию, позволяющую выполнять детальный анализ данных, полученных в течение сессии мониторинга. Система содержит средства для сбора информации о характеристиках анализируемой системы, базу данных собранной информации по выбранным категориям, средства для приема собранной информации в целях определения характеристик системы на основании этой информации, устройство визуализации результатов анализа.
В данной системе, как и в предыдущей отсутствует модуль обучения, система защиты и активной ответной реакции.
Известно устройство обнаружения вирусных воздействий на информационные системы (см. 3. патент на полезную модель РФ №83145, М. кл. G06F 12/14, опубл. 20.05.2009 г.). Устройство позволяет обнаруживать удаленные атаки на Web-сервер и содержит блок хранения эталонов известных атак и необходимых коэффициентов, блок приема адресованных абоненту пакетов данных, блок проверки поступающих пакетов данных на соответствие заданным правилам, блок принятия решения, блок идентификации, блок прогнозирования для принятия мер защиты от атаки, вводятся блок формирования исполняемых файлов, блок предварительной обработки, содержащий элементы проверки корректности исполняемого файла, распаковки исполняемого файла, выделения структурных цепочек, блок обучения, содержащий элементы восстановления грамматик и элементы расчета вероятностных характеристик порождающих правил, в блок проверки по заданным правилам введен элемент стохастического структурного анализа.
В данном устройстве не предусмотрены поведенческий анализ действий пользователя и активное ответное воздействие для минимизации атаки.
Известно устройство динамической защиты сети (см.4. патент на изобретение США №7681235, М. кл. G08В 23/00, опубл. 16.03.2010 г.), которое принято за прототип.
Данное устройство обеспечивает измерение характеристик входящего в сеть информационного трафика и анализ характеристик этого трафика с применением, по меньшей мере, одного алгоритма нечеткой логики с целью обнаружения атаки на сеть, а также позволяет осуществлять адаптацию алгоритма нечеткой логики в соответствии с определенными базовыми характеристиками трафика.
Для этого данное устройство содержит сетевой интерфейс, подключенный к процессору сетевой безопасности, в который входят связанные двунаправленными шинами модуль обнаружения атак, модуль разработки сигнатур и модуль фильтрации: - модуль обнаружения атак предназначен для анализа входящего трафика через сетевой интерфейс и обнаружения атак в реальном масштабе времени.
Модуль обнаружения атак использует алгоритмы нечеткой логики в алгоритмах обнаружения атак, где измерение свойств и анализ параметров трафика включают в себя определение степени членства параметров с помощью входных функций принадлежности и включают применение степени принадлежности к выходной функции принадлежности;
- модуль разработки сигнатур предназначен для определения сигнатур и их ранжирования по уровням принадлежности к соответствующей обнаруженной атаке для характеристики пакетов, участвующих в атаке;
- модуль фильтрации предназначен для фильтрации трафика, используя алгоритм фильтрации, который характеризуется первой из сигнатур (имеющий наивысший уровень принадлежности) для обнаруженной атаки.
Процессор сетевой безопасности анализирует отфильтрованный трафик с помощью обратной связи - если фильтрация неэффективна, изменяет ранжирование сигнатур атак с использованием алгоритмов нечеткой логики.
Работа устройства включает два уровня обработки трафика.
На первом уровне оно формирует статистику в режиме реального времени, путем сбора и анализа информации, касающейся трафика: проводит анализ собранных данных для адаптации базовых параметров и обнаружения атак; на основе результатов анализа статистических данных характеризует атаки, и генерирует набор правил, основанных на характеристиках трафика; избирательно фильтрует входящие пакеты на основе сгенерированных правил.
На втором уровне отслеживает все соединения внешней сети с защищенной сетью; производит расчет спектра трафика путем агрегации времени измерений и преобразования их в частотную область; производит защиту от подделки путем проверки IP-адреса источника и, подтвердив подлинность, ретранслирует пакеты, как и требовалось, законным (не поддельным) клиентам; анализирует данные расчета спектра для адаптации базовых параметров и обнаружения атак; избирательно фильтрует входящие пакеты на основе сформированных правил.
Устройство-прототип имеет ограниченную область применения, так как данная двухуровневая схема не позволяет организовать противодействие атакам на веб-приложения и ограничивает признаковое пространство атак, не предусматривает активного ответного воздействия с целью минимизации интенсивности атак, а также не позволяет достоверно определять факт атаки на прикладном уровне.
Техническим результатом предлагаемого полезной модели является расширение области применения устройства путем введения дополнительной защиты веб-приложений от специфических атак на сетевом, транспортном и прикладном уровнях стека протоколов TCP/IP, снижения интенсивности атаки, а также повышение достоверности определения факта атаки.
Указанный технический результат достигается в предлагаемом устройстве защиты сети, содержащем процессор сетевой безопасности, связанный сетевыми интерфейсами с внешней и защищенной сетями, при этом в процессор сетевой безопасности входят связанные двунаправленными шинами блок обнаружения атак, блок разработки сигнатур и блок фильтрации, отличающемся тем, что в процессор сетевой безопасности введен блок активной защиты, при этом соответствующие входные и выходные порты трафика блока фильтрации являются соответственно входными и выходными шинами процессора сетевой безопасности для подключения сетевых интерфейсов, управляющие порты блока обнаружения атак, блока фильтрации и блока активной защиты связаны с соответствующими портами блока управления и разработки сигнатур, который, в свою очередь, связан портами трафика с блоком активной защиты и блоком фильтрации, связанным также портом трафика с блоком обнаружения атак, при этом блок активной защиты выполнен с возможностью анализа заголовков протокола HTTP, интенсивности и скорости запросов этого протокола от клиента к серверу, размера сообщений методов POST и их адекватности для различных случаев использования.
Введение предлагаемых отличий позволяет ввести третий уровень обработки трафика, на котором обеспечивается обнаружение атак на веб-приложения на прикладном уровне. При этом параллельно с алгоритмами фильтрации применяются алгоритмы активной защиты, при помощи которых производится проверка подлинности клиентов и имитация сервера для поддельных клиентов, а также при разработке сигнатур осуществляется анализ: заголовков HTTP (User-Agent, Content-Type, Content-Length), интенсивности HTTP запросов, скорости передачи HTTP запросов от клиента к серверу, размера сообщений методов POST и их адекватность для различных случаев использования.
Кроме того, для адаптации алгоритмов обнаружения атак к изменяющимся характеристикам трафика применяется нейро-нечеткая система (TSK Такаги-Сугено-Канга), а в качестве входных и выходных функций принадлежности алгоритмов нечеткой логики применяются гауссовы функции принадлежности.
Таким образом, предлагаемые отличия обеспечивают достижение указанного технического результата.
Сущность полезной модели поясняется следующими фигурами: На фиг.1 изображен общий принцип работы системы, на фиг.2-4 приведены функциональные схемы обработки трафика на первом, втором и третьем уровнях соответственно, на фиг.5 приведена структурная схема предлагаемого устройства.
Согласно фиг.1 трафик из внешней сети поступает на 1-ый уровень, на котором отсеиваются массовые UDP и ICMP атаки. Далее на 2-м уровне происходит фильтрация атак на соединение, после которой следует 3-ий уровень защиты от атак на веб-приложения. После всех фильтраций трафик поступает в защищенную сеть.
Согласно фиг.2 на первом уровне формируется статистика в режиме реального времени, путем сбора и анализа информации, касающейся трафика; проводят анализ собранных данных с применением адаптивной нейро-нечеткой сети, для адаптации базовых параметров и обнаружения атак; на основе результатов анализа статистических данных характеризуют атаки, и генерируют набор правил, основанных на характеристиках трафика; избирательно фильтруют входящие пакеты на основе сгенерированных правил.
На втором уровне (фиг.3) отслеживают все соединения внешней сети с защищенной сетью; производят расчет спектра трафика путем агрегации времени измерений и преобразования их в частотную область; производят защиту от подделки путем проверки IР-адреса источника и, подтвердив подлинность, ретранслируют пакеты, как и требовалось, законным (не поддельным) клиентам; анализируют данные расчета спектра с применением адаптивной нейро-нечеткой системы для адаптации базовых параметров и обнаружения атак; избирательно фильтруют входящие пакеты на основе сформированных правил.
На третьем уровне (фиг.4) производят проверку подлинности клиентов и имитируют сервер для поддельных клиентов; формируют профили поведения в режиме реального времени, путем сбора и анализа информации, касающейся трафика; проводят анализ собранных данных с применением адаптивной нейро-нечеткой сети для адаптации базовых характеристик поведения и обнаружения атак; на основе результатов анализа генерируют набор правил, основанных на характеристиках трафика; избирательно фильтруют входящие пакеты на основе сгенерированных правил.
Таким образом, предлагаемое устройство защиты сети имеет следующие отличия:
1. Анализ и фильтрация трафика производится на трех уровнях, которые примерно соответствуют верхним уровням стека протоколов ТСР/IP (сетевому, транспортному и прикладному).
Первый уровень. Защита от массовых UDP и ICMP атак (flood).
Второй уровень. Защита от атак на соединение (SYN flood).
Третий уровень. Защита от атак на веб-приложения («HTTP: GET/» и т.д.).
На каждом уровне анализ производится с применением адаптивной нейро-нечеткой системы (TSK Такаги-Сугено-Канга).
2. Применяется поведенческий анализ трафика, как эффективное средство противодействия атакам на веб-приложения, в т.ч. использующим технологию WebSockets (HTML 5). Т.к. целью данных атак является нарушение логики работы и переполнение ресурсов приложения, а не аппаратного обеспечения (как на первом и втором уровнях).
3. Также, в отличие от аналогов, используется ряд методов активного взаимодействия с атакующими хостами, позволяющих значительно снижать эффективность DDoS атак, а именно:
- Запрос/Ответ - проверки для различных протоколов, чтобы вычислить клиентов без реального стека протоколов. Пример: JavaScript с инструкцией браузеру установить куки (cookie) и перезагрузить страницу.
- Срыв сессии (HTTP: GET/) - игнорирование запросов от клиента, в то время как соединение с сервером полностью разорвано. (Клиент думает, что сервер не отвечает и продолжает слать запросы впустую).
- Удержание мнимой сессии - для защиты от атак на соединение (логику и алгоритм работы протокола).
Предлагаемое устройство защиты сети (фиг.5) включает в себя: процессор 1 сетевой безопасности, в который входят блок 2 обнаружения атак, блок 3 фильтрации, блок 4 управления и разработки сигнатур и блок 5 активной защиты, при этом процессор 1 сетевой безопасности соединен с внешней и защищенной сетями сетевыми интерфейсами, причем соответствующие входные и выходные порты трафика блока 3 фильтрации являются соответственно входными и выходными шинами процессора 1 сетевой безопасности для подключения сетевых интерфейсов, управляющие порты блока 2 обнаружения атак, блока 3 фильтрации и блока 5 активной защиты связаны с соответствующими портами блока 4 управления и разработки сигнатур, который, в свою очередь, связан портами трафика с блоком 5 активной защиты и блоком 3 фильтрации, связанным также портом трафика с блоком 2 обнаружения атак.
Как описано выше, предлагаемое устройство защиты сети подразумевает анализ и фильтрацию трафика на трех уровнях, соответствующих верхним уровням стека протоколов ТСР/IP. Таким образом, процессор 1 сетевой безопасности обрабатывает трафик в три этапа.
Принцип работы устройства осуществляется следующим образом.
При поступлении трафика из внешней сети осуществляется первый этап его обработки, при котором блок 2 обнаружения атак выполняет сбор статистики по параметрам, характерным для массовых UDP и ICMP атак, а блоком 4 управления и разработки сигнатур выполняется анализ данной статистики и генерация правил фильтрации. Далее на втором этапе обработки отфильтрованного трафика блоком 4 управления и разработки сигнатур выполняются расчет и анализ спектра, а также генерация правил фильтрации, а блок 2 обнаружения атак выполняет функции анализа соединений и защиты от подделки. На третьем этапе обработки трафика блок 2 обнаружения атак выполняет формирование профилей поведения, блок 4 управления и разработки сигнатур выполняет анализ сформированных профилей и генерацию правил фильтрации, а блок 5 активной защиты производит проверку клиентов и имитацию сервера для поддельных клиентов. Блок 3 фильтрации выполняет функции фильтрации на всех этапах. Прошедший фильтрацию трафик, попадает в защищенную сеть.
Система может быть реализована как отдельное устройство, или как часть маршрутизатора, или межсетевого экрана. Блок 3 фильтрации может быть выполнен на сетевом процессоре серии EZchip NP, в качестве блока 2 обнаружения атак могут использоваться контекстные процессоры серии NetLogic Ayama для предварительного анализа и серии NETL7 для глубокого анализа. Блок 4 управления и разработки сигнатур совместно с блоком 5 активной защиты может быть выполнен на коммуникационном процессоре семейства Freescale QorlQ.
Возможность реализации сформулированного технического результата была проверена путем создания макета программно-аппаратного комплекса и проведения натурного эксперимента с целью оценки достоверности обнаружения атаки предложенным устройством и способом-прототипом.
В качестве параметров трафика для настройки правил фильтрации и обучения нейро-нечеткой системы были использованы перечисленные ниже параметры. На первом уровне процент пакетов определенного протокола (TCP, UDP и т.д.) в общем трафике, интенсивность пакетов определенного протокола (количество пакетов в секунду), длина пакета; на втором уровне процент распределения TCP флагов, интенсивность SYN запросов; на третьем уровне процент распределения заголовков HTTP content-type, интенсивность HTTP запросов, скорость передачи HTTP запроса от клиента к серверу, размер сообщения метода POST (его адекватность для различных случаев). В качестве параметров и реакций модуля активной защиты были использованы: проверочные запросы для различных протоколов с целью валидации стека протоколов, срыв HTTP сессии, удержание мнимой TCP сессии.
В результате эксперимента было выявлено, что заявленное устройство защиты сети, в отличие от прототипа, обладает возможностью детектировать атаки на вебприложения и предотвращать переполнение ресурсов приложения, а также снижать интенсивность подобных атак.
Дополнительными положительными свойствами является повышение чувствительности (возможность определить атаку на ранней стадии), а также точности (количество ложноположительных и ложноотрицательных срабатываний) как результат применения адаптивной нейро-нечеткой системы.

Claims (1)

  1. Устройство защиты сети, содержащее процессор сетевой безопасности, связанный сетевыми интерфейсами с внешней и защищенной сетями, при этом в процессор сетевой безопасности входят связанные двунаправленными шинами блок обнаружения атак, блок разработки сигнатур и блок фильтрации, отличающееся тем, что в процессор сетевой безопасности введен блок активной защиты, причем соответствующие входные и выходные порты трафика блока фильтрации являются соответственно входными и выходными шинами процессора сетевой безопасности для подключения сетевых интерфейсов, управляющие порты блока обнаружения атак, блока фильтрации и блока активной защиты связаны с соответствующими портами блока управления и разработки сигнатур, который, в свою очередь, связан портами трафика с блоком активной защиты и блоком фильтрации, связанным также портом трафика с блоком обнаружения атак, при этом блок активной защиты выполнен с возможностью анализа заголовков протокола HTTP, интенсивности и скорости запросов этого протокола от клиента к серверу, размера сообщений методов POST и их адекватности для различных случаев использования.
    Figure 00000001
RU2013120643/08U 2013-04-29 2013-04-29 Устройство защиты сети RU133954U1 (ru)

Priority Applications (1)

Application Number Priority Date Filing Date Title
RU2013120643/08U RU133954U1 (ru) 2013-04-29 2013-04-29 Устройство защиты сети

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
RU2013120643/08U RU133954U1 (ru) 2013-04-29 2013-04-29 Устройство защиты сети

Publications (1)

Publication Number Publication Date
RU133954U1 true RU133954U1 (ru) 2013-10-27

Family

ID=49447172

Family Applications (1)

Application Number Title Priority Date Filing Date
RU2013120643/08U RU133954U1 (ru) 2013-04-29 2013-04-29 Устройство защиты сети

Country Status (1)

Country Link
RU (1) RU133954U1 (ru)

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2599949C1 (ru) * 2015-04-16 2016-10-20 Федеральное государственное бюджетное учреждение науки Институт автоматики и электрометрии Сибирского отделения Российской академии наук (ИАиЭ СО РАН) Способ фильтрации потока нттр-пакетов на основе пост-анализа запросов к интернет-ресурсу и устройство фильтрации для его реализации
RU2611243C1 (ru) * 2015-10-05 2017-02-21 Сергей Николаевич Андреянов Способ обнаружения дестабилизирующих воздействий на вычислительные сети
RU2628127C2 (ru) * 2014-11-27 2017-08-15 Сяоми Инк. Способ и устройство для идентификации поведения пользователя
RU2659735C1 (ru) * 2017-07-17 2018-07-03 Акционерное общество "Лаборатория Касперского" Система и способ настройки систем безопасности при DDoS-атаке
RU2665919C1 (ru) * 2017-07-17 2018-09-04 Акционерное общество "Лаборатория Касперского" Система и способ определения DDoS-атак при некорректной работе сервисов сервера
RU2666289C1 (ru) * 2015-01-09 2018-09-06 Бэйцзин Цзиндун Шанкэ Информейшн Текнолоджи Ко, Лтд. Система и способ для ограничения запросов доступа
RU2676021C1 (ru) * 2017-07-17 2018-12-25 Акционерное общество "Лаборатория Касперского" Система и способ определения DDoS-атак
RU2728763C1 (ru) * 2019-07-26 2020-07-31 Федеральное государственное казенное военное образовательное учреждение высшего образования Академия Федеральной службы охраны Российской Федерации Адаптивная система мониторинга информационно-технических воздействий

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2628127C2 (ru) * 2014-11-27 2017-08-15 Сяоми Инк. Способ и устройство для идентификации поведения пользователя
RU2666289C1 (ru) * 2015-01-09 2018-09-06 Бэйцзин Цзиндун Шанкэ Информейшн Текнолоджи Ко, Лтд. Система и способ для ограничения запросов доступа
RU2599949C1 (ru) * 2015-04-16 2016-10-20 Федеральное государственное бюджетное учреждение науки Институт автоматики и электрометрии Сибирского отделения Российской академии наук (ИАиЭ СО РАН) Способ фильтрации потока нттр-пакетов на основе пост-анализа запросов к интернет-ресурсу и устройство фильтрации для его реализации
RU2611243C1 (ru) * 2015-10-05 2017-02-21 Сергей Николаевич Андреянов Способ обнаружения дестабилизирующих воздействий на вычислительные сети
RU2659735C1 (ru) * 2017-07-17 2018-07-03 Акционерное общество "Лаборатория Касперского" Система и способ настройки систем безопасности при DDoS-атаке
RU2665919C1 (ru) * 2017-07-17 2018-09-04 Акционерное общество "Лаборатория Касперского" Система и способ определения DDoS-атак при некорректной работе сервисов сервера
RU2676021C1 (ru) * 2017-07-17 2018-12-25 Акционерное общество "Лаборатория Касперского" Система и способ определения DDoS-атак
RU2728763C1 (ru) * 2019-07-26 2020-07-31 Федеральное государственное казенное военное образовательное учреждение высшего образования Академия Федеральной службы охраны Российской Федерации Адаптивная система мониторинга информационно-технических воздействий

Similar Documents

Publication Publication Date Title
RU133954U1 (ru) Устройство защиты сети
CN109600363B (zh) 一种物联网终端网络画像及异常网络访问行为检测方法
CN106027559B (zh) 基于网络会话统计特征的大规模网络扫描检测方法
Hoque et al. An implementation of intrusion detection system using genetic algorithm
EP2953298B1 (en) Log analysis device, information processing method and program
CN111245793A (zh) 网络数据的异常分析方法及装置
CN109495423A (zh) 一种防止网络攻击的方法及系统
CN108289088A (zh) 基于业务模型的异常流量检测系统及方法
CN104506385B (zh) 一种软件定义网络安全态势评估方法
Bhushan et al. Hypothesis test for low-rate DDoS attack detection in cloud computing environment
Gómez et al. Design of a snort-based hybrid intrusion detection system
CN103428224A (zh) 一种智能防御DDoS攻击的方法和装置
CN111049827A (zh) 一种网络系统安全防护方法、装置及其相关设备
Hu et al. Network data analysis and anomaly detection using CNN technique for industrial control systems security
Gupta et al. GARCH and ANN-based DDoS detection and filtering in cloud computing environment
CN115766235A (zh) 一种网络安全预警系统及预警方法
Thangavel et al. Detection and trace back of low and high volume of distributed denial‐of‐service attack based on statistical measures
Shamsolmoali et al. C2DF: High rate DDOS filtering method in cloud computing
Sultana et al. Detecting and preventing ip spoofing and local area network denial (land) attack for cloud computing with the modification of hop count filtering (hcf) mechanism
CN117829677A (zh) 一种工业网络靶场任务自动评估方法、设备及介质
Zhang et al. Quantitative risk assessment of cyber physical power system using bayesian based on petri net
Zaghdoud et al. Contextual fuzzy cognitive map for intrusion response system
Garg et al. Identifying anomalies in network traffic using hybrid Intrusion Detection System
Xue et al. Research of worm intrusion detection algorithm based on statistical classification technology
Khordadpour et al. FIDS: Fuzzy Intrusion Detection System for simultaneous detection of DoS/DDoS attacks in Cloud computing

Legal Events

Date Code Title Description
MM9K Utility model has become invalid (non-payment of fees)

Effective date: 20180430

NF9K Utility model reinstated

Effective date: 20210802