RU140481U1 - Устройство для обеспечения безопасности информации, обрабатываемой в компьютерной сети военного назначения - Google Patents

Устройство для обеспечения безопасности информации, обрабатываемой в компьютерной сети военного назначения Download PDF

Info

Publication number
RU140481U1
RU140481U1 RU2013131053/08U RU2013131053U RU140481U1 RU 140481 U1 RU140481 U1 RU 140481U1 RU 2013131053/08 U RU2013131053/08 U RU 2013131053/08U RU 2013131053 U RU2013131053 U RU 2013131053U RU 140481 U1 RU140481 U1 RU 140481U1
Authority
RU
Russia
Prior art keywords
integrity
information
information processed
computer network
security
Prior art date
Application number
RU2013131053/08U
Other languages
English (en)
Inventor
Антон Борисович Исупов
Сергей Владимирович Носенко
Ольга Владимировна Петрова
Original Assignee
Федеральное государственное казенное военное образовательное учреждение высшего профессионального образования "ВОЕННАЯ АКАДЕМИЯ СВЯЗИ имени Маршала Советского Союза С.М. Буденного" Министерства обороны Российской Федерации
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Федеральное государственное казенное военное образовательное учреждение высшего профессионального образования "ВОЕННАЯ АКАДЕМИЯ СВЯЗИ имени Маршала Советского Союза С.М. Буденного" Министерства обороны Российской Федерации filed Critical Федеральное государственное казенное военное образовательное учреждение высшего профессионального образования "ВОЕННАЯ АКАДЕМИЯ СВЯЗИ имени Маршала Советского Союза С.М. Буденного" Министерства обороны Российской Федерации
Priority to RU2013131053/08U priority Critical patent/RU140481U1/ru
Application granted granted Critical
Publication of RU140481U1 publication Critical patent/RU140481U1/ru

Links

Images

Abstract

Устройство для обеспечения безопасности информации, обрабатываемой в компьютерной сети военного назначения, содержащее блок памяти, диспетчер обновления индивидуального нормального профиля (ИНП), блок данных, модуль анализа текущего индивидуального профиля (ТИП) и блок оповещения, отличающееся тем, что в конструкции устройства предложено использовать модуль контроля, обеспечивающий контроль целостности информации, обрабатываемой и хранимой в компьютерной сети военного назначения, входы которого соединены с выходами блока данных, а выходы - с входами блока оповещения и входами диспетчера обновления ИНП.

Description

Предлагаемая полезная модель относится к вычислительной технике, а именно к информационным вычислительным системам, реализуемым на компьютерах любых типов, и может быть использована для защиты информационных ресурсов, как рабочих станций, так и серверов компьютерных сетей военного назначения.
Известен способ обеспечения целостности информации при начальной загрузке системы. Подобный способ организации целостности реализован в ряде операционных систем, в частности в операционной системе Windows NT Server 4.0 (см. Валда Хиллей "Секреты Windows NT Server 4.0" - К.: Диалектика, 1997, с. 14-15). Способ заключается в нахождении контрольных сумм файлов при загрузке системы, где под контрольной суммой файла понимается некоторое числовое значение, полученное в результате преобразования содержимого файла в соответствии с каким-либо математическим алгоритмом, являющееся уникальным для данного файла. Если содержимое файла было каким-либо образом изменено, то контрольная сумма данного файла тоже изменится. При несовпадении контрольных сумм каких-либо файлов с эталонными значениями на экран выводится сообщение о нарушении целостности. Данные сведения могут быть использованы администратором системы для облегчения восстановления работоспособности системы при каких-либо нарушениях в ее работе.
Основным недостатком способа является невозможность обеспечения целостности файлов, не использующихся при начальной загрузке операционно системы, что в свою очередь, лишает администратора безопасности компьютерной сети военного назначения (далее по тексту - КС ВН) возможности отследить появление закладок в системе, если они не расположены в основных системных файлах. Кроме того данный способ интегрирован в виде программного кода непосредственно в операционную систему, что делает его уязвимым в случае воздействия на защищаемую рабочую станцию КС ВН компьютерных атак (далее по тексту - КА) в условиях информационного противоборства.
Известен способ обеспечения целостности, используемый в сетевых продуктах, таких как сетевые базы данных Oracle (см. Eric Armstrong, Cynthia Closkey, Brian Linden, Maria Pratt "Oracle 7 (ТМ) Server Concept Release 7.3." - Belmont, California, USA, 1996). В данном программном продукте обеспечивается:
- целостность данных, под которой понимается возможность введения в отдельные поля (строки, столбцы, таблицы, группы таблиц) только допустимых значений (например только различных значений переменных в рамках какого-либо столбца, значений переменных только одного знака в рамках какой-либо строки и т.п.);
- целостность на уровне команд, под которой понимается возможность выполнения командой действий только с теми данными, которые находились в БД в момент введения команды, то есть при одновременном введении команды и изменении данных команда будет исполнена с первоначальными (неизмененными) данными;
- целостность на уровне транзакций, под которой понимается возможность источника (одной из рабочих станций) передачи по сети не только данных, но также команд (как обычных, так и вложенных) и их гарантированный прием и исполнение приемником (другой рабочей станцией);
- целостность данных при восстановлении с резервных копий, под которой понимается возможность хранения в качестве эталона некоего варианта БД и восстановления БД по резервной копии с учетом тех изменений, которые заносятся во временные файлы с целью восстановления последней версии БД. Однако, подобный способ обеспечения целостности обладает рядом существенных недостатков:
1. Не обеспечивает целостности данных при прямом (не через интерфейс БД) доступе к файлам, то есть возможно несанкционированное изменение БД;
2. Не отслеживает целостность отдельных объектов в рамках системы, то есть оставляет возможность для внесения закладок в систему;
3. Не гарантирует правильности резервных копий, то есть к моменту восстановления в них могут быть внесены изменения;
4. Не проверяется корректность процессов, порожденных пользователями системы, следовательно возможны попытки компьютерных атак путем переполнения трафика (DDos-атаке), что приведет к потере производительности системы.
Кроме того, указанный способ, так же как и предыдущий, является интегрированным в СУБД программным кодом, что делает его уязвимым к некоторым типам компьютерных атак в условиях информационного противоборства.
Перечисленные недостатки являются недопустимыми для средств, обеспечивающих безопасность информации, циркулирующей в КС ВН в условиях информационного противоборства.
Наиболее близким техническим решением к заявляемому и принятым за прототип является устройство для обнаружения и идентификации информационных атак на ресурсы автоматизированных систем военного назначения, содержащее блок памяти, блок данных, модуль анализа текущего индивидуального профиля (ТИП), диспетчер обновления индивидуального нормального профиля (ИНП) и блок оповещения (Пат. 120792 Российская Федерация, МПК G06F 12/14, G06F 15/16, G06F 11/00. Устройство для обнаружения и идентификации информационных атак на ресурсы автоматизированных систем военного назначения [Текст] / Исупов Антон Борисович, Юрков Владимир Александрович, Королев Игорь Дмитриевич; заявитель и патентообладатель Федеральное государственное военное образовательное учреждение высшего профессионального образования «Военная академия связи имени Маршала Советского Союза С.М. Буденного (г. Санкт-Петербург) Министерства обороны Российской Федерации. - №2011140039/08; заявл. 30.09.2011; опубл. 27.09.12.).
Известное устройство является самодостаточным программно-аппаратным комплексом, обеспечивающим защиту, как самой рабочей станции компьютерной сети военного назначения, так и информации, обрабатываемой в ней от различных видов как известных, так и условно неизвестных компьютерных атак в условиях информационного противоборства, однако не позволяет обеспечить должный уровень контроля целостности информации, обрабатываемой и хранимой в КС ВН, что является недопустимым, в соответствии с руководящими документами Федеральной службы по техническому и экспортному контролю РФ (ФСТЭК России), устанавливающих требования к средствам обеспечения безопасности информации, используемым в составе КС ВН.
Целью предлагаемого устройства является расширение функциональных возможностей по обнаружению компьютерных атак в компьютерной сети военного назначения в условиях информационного противоборства, за счет введения элемента контроля целостности информации, обрабатываемой и хранимой в КС ВН.
Цель достигается тем, что в предлагаемом устройстве используется модуль контроля (далее по тексту - МК).
В известном техническом решении имеются признаки, сходные с признаками заявляемого устройства. Это наличие блока памяти, блока данных, модуля анализа текущего индивидуального профиля (далее по тексту - ТИП), диспетчера обновления индивидуального нормального профиля (далее по тексту - ИНП) и блока оповещения.
В отличие от прототипа в заявляемом устройстве присутствует модуль контроля, обеспечивающий контроль целостности информации, как на уровне операционной системы, так и на уровне отдельных приложений и баз данных, что в свою очередь позволяет повысить уровень защищенности информации, циркулирующей в КС ВН в условиях информационного противоборства.
В связи с этим заявляемое техническое решение обладает существенными отличиями от известного прототипа. Заявитель не обнаружил аналогичных решений со сходными признаками заявляемого технического решения, в связи с чем заявитель делает вывод, что заявляемое решение обладает существенными отличиями.
В результате проведенного анализа предлагаемое устройство позволяет обеспечить расширение функциональных возможностей по обнаружению компьютерных атак в компьютерной сети военного назначения, за счет создания эффективного контроля целостности информации, обрабатываемой и хранимой в КС ВН в условиях информационного противоборства
На фиг. 1 изображена структурная схема устройства для обеспечения безопасности информации, обрабатываемой в компьютерной сети военного назначения. На ней показаны блок памяти (1), диспетчер обновления ИНП (2), блок данных (3), модуль анализа ТИП (4), состоящий из модуля обнаружения компьютерных атак на 1 этапе реализации (4.1), модуля обнаружения компьютерных атак на 2 этапе реализации (4.2) и модуля обнаружения компьютерных атак на 3 этапе реализации (4.3), блок оповещения (5) и модуль контроля (6).
На фиг 2. изображена структурная схема модуля контроля. На ней показаны блок приема данных (6.1), блок распределения (6.2), блок обеспечения целостности файловой системы (6.3), блок контроля целостности (по пользователям) (6.4), блок контроля целостности (по процессам) (6.5), блок управления (6.6), блок реагирования (6.7) и блок памяти (6.8).
Устройство содержит блок памяти, диспетчер обновления ИНП, блок данных, модуль анализа ТИП, блок оповещения и модуль контроля. Модуль анализа ТИП состоит из: модуля обнаружения компьютерных атак на 1 этапе реализации, модуля обнаружения компьютерных атак на 2 этапе реализации и модуля обнаружения компьютерных атак на 3 этапе реализации. Модуль контроля состоит из блока приема данных, блока распределения, блока обеспечения целостности файловой системы, блока контроля целостности (по пользователям), блока контроля целостности (по процессам), блока управления, блока реагирования и блока памяти.
Устройство работает следующим образом:
Производится первоначальная настройка устройства, при которой в (3) создаются 3 части индивидуального нормального профиля (ИНП) защищаемой рабочей станции КС ВН, а также для (4.1) устанавливается первоначальный порог чувствительности равный величине λ3;
За каждой рабочей станцией закрепляется 3 последовательности событий, которые составляют ее индивидуальный нормальный профиль:
Figure 00000002
где
Figure 00000003
- j-е событие первого набора i-ой рабочей станции; n - общее число событий, m - общее число рабочих станций в КС ВН;
Figure 00000004
где
Figure 00000005
- j-e событие второго набора i-й рабочей станции;
Figure 00000006
где
Figure 00000007
- j-е событие третьего набора i-й рабочей станции;
Каждое событие представляется в виде символов конечного алфавита (N-битовых идентификационных кодов).
После этого, процесс обнаружения компьютерной атаки, инициализированный в заявляемом устройстве, разделяется на два параллельных алгоритма: алгоритм обнаружения компьютерных атак на основе анализа ТИП и алгоритм контроля целостности информации, обрабатываемой и хранимой в защищаемой рабочей станции КС ВН.
Алгоритм работы устройства в режиме обнаружении компьютерных атак на основе анализа ТИП.
В (4) формируется и анализируется текущий индивидуальный профиль КС ВН.
В (4.1) формируется и анализируется 1 часть текущего индивидуального профиля КС ВН.
В процессе функционирования КС ВН формируется 1 часть текущего индивидуального профиля
Figure 00000008
, которая затем сравнивается с 1 частью индивидуального нормального профиля (1). В случае несовпадения
Figure 00000009
, с (1), регистрируется компьютерная атака на КС ВН.
В случае если на основании анализа невозможно принять однозначного решения о наличии или отсутствии факта компьютерной атаки, т.е когда присутствует частичное несовпадение 1 части ИНП и 1 части ТИП, но порог чувствительности не превышен, порог чувствительности понижается до величины λ5, и происходит переход к выполнению следующего этапа алгоритма.
В (4.2) формируется и анализируется на уровне λ5 порога чувствительности 2 часть текущего индивидуального профиля КС ВН.
В процессе функционирования КС ВН формируется 2 часть текущего индивидуального профиля
Figure 00000010
, которая затем сравнивается со 2 частью индивидуального нормального профиля (2). В случае несовпадения
Figure 00000011
, с (2), регистрируется компьютерная атака на КС ВН.
В случае если на основании анализа невозможно принять однозначного решения о наличии или отсутствии факта компьютерной атаки, т.е когда присутствует частичное несовпадение 2 части ИНП и 2 части ТИП, но порог чувствительности не превышен, порог чувствительности понижается до величины λ9, и происходит переход к выполнению следующего этапа алгоритма.
В (4.3) формируется и анализируется на уровне λ9 порога чувствительности 3 часть текущего индивидуального профиля КС ВН.
В процессе функционирования КС ВН формируется 3 часть текущего индивидуального профиля
Figure 00000012
, которая затем сравнивается с 3 частью индивидуального нормального профиля (3). В случае любого несовпадения 4,
Figure 00000013
с (3), регистрируется компьютерная атака на КС ВН.
Сравнение частей ИНП и ТИП осуществляется методом простого побитового сравнения.
Параллельно с работой устройства по вышеизложенному алгоритму, инициализируется и осуществляется процесс контроля целостности информации, обрабатываемой и хранимой в КС ВН.
Алгоритм работы устройства в режиме контроля целостности информации.
В исходном состоянии модуль контроля производит проверку происходящих на защищаемой рабочей станции КС ВН процессов (блок 6.5) и (или) находящихся в системе пользователей (блок 6.4). В случае обнаружения неопознанных или заведомо запрещенных процессов и (или) пользователей производится проверка целостности файловой системы рабочей станции. Результаты проверки файловой системы сообщаются администратору безопасности. Администратор безопасности может установить автоматическую реакцию на нарушение целостности системы (блок 6.7): полную или частичную проверку файловой системы защищаемой рабочей станции КС ВН, автоматическое поражение в правах или удаление из системы пользователя, вызвавшего нарушение целостности. При этом пользователь может быть идентифицирован путем сопоставления опасного процесса, имени породившего его пользователя и консоли, с которой данный пользователь произвел вход в систему. Подобные автоматические реакции могут быть заданы не только для отдельных пользователей или процессов, но и для групп пользователей и групп процессов. Возможно задание каких-либо иных реакций на нарушение целостности, определяемых администратором безопасности.
На вход модуля контроля (6) от блока данных (3) подаются данные, которые принимаются блоком приема данных (6.1) и передаются в блок распределения (6.2), после чего, по сигналу управления, передаваемому из блока управления (6.6) инициируется начало проверки целостности, создании базы данных или внесении изменений в блок реагирования (6.7):
- в первом случае блок управления (6.6) вырабатывает необходимые управляющие воздействия (I1) и передает их блоку распределения (6.2). Блок распределения получает сигнал с входа блока управления (6.6) и информацию с блока приема данных (6.1) о находящихся в системе пользователях, которая сверяется с контрольной базой данных в блоке контроля целостности (по пользователям) (6.4). Результаты проверки передаются блоку реагирования (6.7), который осуществляет выработку результатов проверки и передает информацию на блок оповещения (5) и диспетчер обновления ИНП (2) для своевременного корректирования индивидуального нормального профиля защищаемой рабочей станции.
Во втором случае блок управления (6.6) вырабатывает необходимые управляющие воздействия (I2) и передает их блоку распределения (6.2). Блок распределения (6.2) получает из блока данных (3) через блок приема данных (6.1) информацию и на ее основе создает базу данных, которую записывает в блок памяти (6.8).
В третьем случае блок управления (6.6) вырабатывает необходимые управляющие воздействия (I3) и передает их блоку распределения (6.2), который получив информацию создает новую базу данных для выработки реакции, которую записывает в блок памяти (6.8).
Данные, получаемые от блока данных (3) через блок приема данных (6.1) по управляющему сигналу от блока управления (6.6) передаются для анализа в блоки (6.3)-(6.5) в зависимости от вида управляющего сигнала и цели анализа. Кроме того, по управляющему сигналу (I4) может быть инициирован процесс параллельного анализа как файловой системы, так и целостности информации (по процессам) и целостности информации (по пользователям).
Достоинствами заявляемого устройства являются:
1. Возможность оперативного отслеживания факта появления опасных для безопасности рабочей станции процессов и находить породивших их пользователей;
2. Возможность оперативного отслеживания факта появления опасных для безопасности системы пользователей и сопоставление пользователей и порожденных ими процессов;
3. Возможность отслеживать и пресекать попытки нарушения целостности, так как фиксируется не только факт произошедшего нарушения, но и попытка подобного нарушения.
4. Обеспечение экономного использования ресурсов рабочей станции КС ВН, за счет незначительного входного и выходного потоков данных при контроле целостности по процессам и пользователям.
5. Возможность установки на любой рабочей станции КС ВН в виде самодостаточного программно-аппаратного комплекса, что позволяет обеспечить возможность перенастройки при любых легальных и санкционированных изменениях, произошедших на защищаемой рабочей станции КС ВН.
Таким образом, заявляемое устройство позволяет не только обеспечить возможность эффективного обнаружения компьютерных атак в условиях информационного противоборства, но так же обеспечить эффективный контроль целостности информации, обрабатываемой и хранимой на защищаемой рабочей станции КС ВН, как на уровне операционной системы, так и на уровне отдельных программ и приложений, что в свою очередь позволяет расширить функциональные возможности по обнаружению атак, а также обеспечить соблюдение полного комплекса требований, предъявляемых ФСТЭК России к средствам обеспечения безопасности информации, функционирующих в составе КС ВН.
Кроме того, являясь самодостаточным программно-аппаратным комплексом, заявляемое устройство является защищенным от воздействия компьютерных атак противника в условиях информационного противоборства.

Claims (1)

  1. Устройство для обеспечения безопасности информации, обрабатываемой в компьютерной сети военного назначения, содержащее блок памяти, диспетчер обновления индивидуального нормального профиля (ИНП), блок данных, модуль анализа текущего индивидуального профиля (ТИП) и блок оповещения, отличающееся тем, что в конструкции устройства предложено использовать модуль контроля, обеспечивающий контроль целостности информации, обрабатываемой и хранимой в компьютерной сети военного назначения, входы которого соединены с выходами блока данных, а выходы - с входами блока оповещения и входами диспетчера обновления ИНП.
    Figure 00000001
RU2013131053/08U 2013-07-05 2013-07-05 Устройство для обеспечения безопасности информации, обрабатываемой в компьютерной сети военного назначения RU140481U1 (ru)

Priority Applications (1)

Application Number Priority Date Filing Date Title
RU2013131053/08U RU140481U1 (ru) 2013-07-05 2013-07-05 Устройство для обеспечения безопасности информации, обрабатываемой в компьютерной сети военного назначения

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
RU2013131053/08U RU140481U1 (ru) 2013-07-05 2013-07-05 Устройство для обеспечения безопасности информации, обрабатываемой в компьютерной сети военного назначения

Publications (1)

Publication Number Publication Date
RU140481U1 true RU140481U1 (ru) 2014-05-10

Family

ID=50630173

Family Applications (1)

Application Number Title Priority Date Filing Date
RU2013131053/08U RU140481U1 (ru) 2013-07-05 2013-07-05 Устройство для обеспечения безопасности информации, обрабатываемой в компьютерной сети военного назначения

Country Status (1)

Country Link
RU (1) RU140481U1 (ru)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2637486C2 (ru) * 2015-12-07 2017-12-04 федеральное государственное казенное военное образовательное учреждение высшего образования "Краснодарское высшее военное училище имени генерала армии С.М. Штеменко" Министерства обороны Российской Федерации Система контроля целостности журналов непрерывно ведущихся записей данных

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2637486C2 (ru) * 2015-12-07 2017-12-04 федеральное государственное казенное военное образовательное учреждение высшего образования "Краснодарское высшее военное училище имени генерала армии С.М. Штеменко" Министерства обороны Российской Федерации Система контроля целостности журналов непрерывно ведущихся записей данных

Similar Documents

Publication Publication Date Title
US11481492B2 (en) Method and system for static behavior-predictive malware detection
Biermann et al. A comparison of intrusion detection systems
Krsul et al. Computer vulnerability analysis
Mao et al. Security importance assessment for system objects and malware detection
CN107004089A (zh) 恶意软件检测方法及其系统
US11956264B2 (en) Method and system for verifying validity of detection result
CN1328638C (zh) Windows环境下的主机入侵检测方法
US20080184041A1 (en) Graph-Based Tamper Resistance Modeling For Software Protection
CN110096872B (zh) 网页入侵脚本攻击工具的检测方法及服务器
CN111159775A (zh) 网页篡改检测方法、系统、装置及计算机可读存储介质
CN106203095A (zh) 一种webshell的检测方法和检测系统
CN103218561A (zh) 一种保护浏览器的防篡改方法和装置
Ma et al. Security research of redundancy in mimic defense system
Layton et al. Authorship analysis of the Zeus botnet source code
CN114553596A (zh) 适用于网络安全的多维度安全情况实时展现方法及系统
RU140481U1 (ru) Устройство для обеспечения безопасности информации, обрабатываемой в компьютерной сети военного назначения
CN116032527A (zh) 一种基于云计算的数据安全漏洞感知系统及方法
Krsul Computer Vulnerability Analysis: Thesis Proposal
KR102433581B1 (ko) 시계열 학습형 앙상블 인공지능 기법을 이용한 사회이슈 기반 사이버 표적공격 예측 시스템 및 그 예측 방법
US20130291106A1 (en) Enterprise level information alert system
CN112597490A (zh) 安全威胁编排响应方法、装置、电子设备及可读存储介质
Rekhis et al. A Hierarchical Visibility theory for formal digital investigation of anti-forensic attacks
Kim et al. Operation framework including cyber warfare execution process and operational concepts
CN115361182B (zh) 一种僵尸网络行为分析方法、装置、电子设备及介质
Singh et al. Concept and proposed architecture of Hybrid Intrusion Detection System using data mining

Legal Events

Date Code Title Description
MM1K Utility model has become invalid (non-payment of fees)

Effective date: 20150706