RU141239U1 - Устройство для обнаружения компьютерных атак на информационно-телекоммуникационные сети военного назначения - Google Patents

Устройство для обнаружения компьютерных атак на информационно-телекоммуникационные сети военного назначения Download PDF

Info

Publication number
RU141239U1
RU141239U1 RU2013125832/08U RU2013125832U RU141239U1 RU 141239 U1 RU141239 U1 RU 141239U1 RU 2013125832/08 U RU2013125832/08 U RU 2013125832/08U RU 2013125832 U RU2013125832 U RU 2013125832U RU 141239 U1 RU141239 U1 RU 141239U1
Authority
RU
Russia
Prior art keywords
stage
outputs
inputs
block
detectors
Prior art date
Application number
RU2013125832/08U
Other languages
English (en)
Inventor
Антон Борисович Исупов
Игорь Дмитриевич Королев
Ольга Владимировна Петрова
Original Assignee
Федеральное государственное казенное военное образовательное учреждение высшего профессионального образования "ВОЕННАЯ АКАДЕМИЯ СВЯЗИ имени Маршала Советского Союза С.М. Буденного" Министерства обороны Российской Федерации
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Федеральное государственное казенное военное образовательное учреждение высшего профессионального образования "ВОЕННАЯ АКАДЕМИЯ СВЯЗИ имени Маршала Советского Союза С.М. Буденного" Министерства обороны Российской Федерации filed Critical Федеральное государственное казенное военное образовательное учреждение высшего профессионального образования "ВОЕННАЯ АКАДЕМИЯ СВЯЗИ имени Маршала Советского Союза С.М. Буденного" Министерства обороны Российской Федерации
Priority to RU2013125832/08U priority Critical patent/RU141239U1/ru
Application granted granted Critical
Publication of RU141239U1 publication Critical patent/RU141239U1/ru

Links

Images

Abstract

Устройство для обнаружения компьютерных атак на информационно-телекоммуникационные сети военного назначения, содержащее блок памяти, диспетчер обновления индивидуального нормального профиля (ИНП), блок данных, модуль анализа текущего индивидуального профиля (ТИП), состоящий из модуля обнаружения атак на 1 этапе реализации, модуля обнаружения атак на 2 этапе реализации и модуля обнаружения атак на 3 этапе реализации, и блок оповещения, отличающееся тем, что в конструкции устройства предложено использовать модуль интеллектуального самообучения, состоящий из блока формирования базы детекторов, формирующего базу детекторов компьютерных атак, входы которого соединены с выходами диспетчера обновления ИНП, а выходы - с входами блока памяти; блока формирования шаблонов текущей активности, формирующего шаблоны нормальной активности индивидуального нормального профиля защищаемого объекта, входы которого соединены с выходами блока данных, а выходы - с входами модуля анализа ТИП.

Description

Предлагаемая полезная модель относиться к области вычислительной техники, а именно к информационным вычислительным системам и сетям, и может быть использована для реализации высокоэффективного процесса обнаружения и идентификации компьютерных атак на информационно-телекоммуникационные сети военного назначения.
Известна система защиты рабочих станций, информационных и функциональных серверов вычислительных систем и сетей с динамическими списками санкционированных событий, включающая блок памяти, содержащий блок функционального программного обеспечения, блок данных, блок хранения контрольных сумм, M блоков хранения списков санкционированных событий, блок формирования текущих контрольных сумм, блок сравнения контрольных сумм, M блоков формирования списков текущих событий, M блоков сравнения списков текущих и санкционированных событий, M блоков выработки команд на прекращение текущего события, блок выработки сигнала сравнения контрольных сумм, M блока корректировки списка санкционированных событий (Пат. 2166792 Российская Федерация, МПК G06F 12/14, G06F 15/16, G06F 11/00. Система защиты рабочих станций, информационных и функциональных серверов вычислительных систем и сетей с динамическими списками санкционированных событий [Текст] / Щеглов Андрей Юрьевич; заявитель и патентообладатель Щеглов Андрей Юрьевич. - №99122295/09; заявл. 25.10.99; опубл. 10.05.01.).
Однако известное устройство на сегодняшний день не удовлетворяет требованиям, предъявляемым к средствам обнаружения компьютерных атак на информационно-телекоммуникационные сети в части обеспечения требуемой вероятности и скорости обнаружения неизвестных типов компьютерных атак.
Анализ качества обнаружения и идентификации компьютерных атак на информационно-телекоммуникационные сети, проведенный на имитационной модели, созданной на основе описания известного устройства показал следующие характеристики:
Характеристика Значение
Вероятность обнаружения известных типов компьютерных атак (
Figure 00000002
)		 0,95
Вероятность обнаружения неизвестных типов компьютерных атак (
Figure 00000003
)		 0,12
Количество ошибок первого рода (чужой как свой) 62%
Количество ошибок 2 рода (свой как чужой) 18%
Уровень загрузки аппаратных ресурсов 39%
На основании проведенного имитационного моделирования можно утверждать, что известное устройство на сегодняшний день не удовлетворяет требованиям, предъявляемым к средствам обнаружения и идентификации компьютерных атак на информационно-телекоммуникационные сети военного назначения, определенным в руководящих документах Министерства обороны Российской Федерации, в которых установлены следующие вероятности обнаружения компьютерных атак:
Характеристика Значение
Вероятность обнаружения известных типов компьютерных атак (
Figure 00000004
)
Figure 00000005
>0,95
Вероятность обнаружения неизвестных типов информационных атак (
Figure 00000006
)
Figure 00000007
>0,95
Наиболее близким техническим решением к заявляемому и принятым за прототип является устройство для обнаружения и идентификации информационных атак на ресурсы автоматизированных систем военного назначения, содержащее блок памяти, блок данных, модуль анализа текущего индивидуального профиля (ТИП), диспетчер обновления индивидуального нормального профиля (ИНП) и блок оповещения (Пат. 120792 Российская Федерация, МПК G06F 12/14, G06F 15/16, G06F 11/00. Устройство для обнаружения и идентификации информационных атак на ресурсы автоматизированных систем военного назначения [Текст] / Исупов Антон Борисович, Юрков Владимир Александрович, Королев Игорь Дмитриевич; заявитель и патентообладатель Федеральное государственное военное образовательное учреждение высшего профессионального образования «Военная академия связи имени Маршала Советского Союза С.М. Буденного (г. Санкт-Петербург) Министерства обороны Российской Федерации. - №2011140039/08; заявл. 30.09.2011; опубл. 27.09.12.).
Известное устройство в полной мере удовлетворяет требованиям руководящих документов Министерства обороны Российской Федерации в части обеспечения требуемой вероятности обнаружения как известных, так и неизвестных типов компьютерных атак, однако не способно обнаруживать компьютерные атаки на информационно-телекоммуникационные сети военного назначения в реальном масштабе времени, что резко снижает устойчивость функционирования информационно-телекоммуникационных сетей военного назначения в условиях информационного противоборства.
Целью предлагаемого устройства является обеспечение возможности обнаружения компьютерных атак на информационно-телекоммуникационные сети военного назначения в реальном масштабе времени за счет создания системы интеллектуального самообучения.
Цель достигается тем, что в предлагаемом устройстве используется модуль интеллектуального самообучения, состоящий из блока формирования базы детекторов и блока формирования шаблонов текущей активности.
В известном техническом решении имеются признаки, сходные с признаками заявляемого устройства. Это наличие блока памяти, блока данных, модуля анализа текущего индивидуального профиля (ТИП), диспетчера обновления индивидуального нормального профиля (ИНП) и блока оповещения.
В отличие от прототипа в заявляемом устройстве присутствует: модуль интеллектуального самообучения, состоящий из блока формирования базы детекторов и блока формирования шаблонов текущей активности, обеспечивающий создание, на основе механизмов искусственной иммунной системы, в автономном режиме, базы детекторов и шаблонов текущей активности, способных в масштабе реального времени обнаруживать как известные, так и неизвестные компьютерные атаки на информационно-телекоммуникационные сети военного назначения в условиях информационного противоборства.
В связи с этим заявляемое техническое решение обладает существенными отличиями от известного прототипа. Заявитель не обнаружил аналогичных решений со сходными признаками заявляемого технического решения, в связи с чем заявитель делает вывод, что заявляемое решение обладает существенными отличиями.
В результате проведенного имитационного моделирования и анализа предлагаемое устройство позволяет обеспечить обнаружение как известных, так и неизвестных типов компьютерных атак на информационно-телекоммуникационные сети военного назначения в условиях информационного противоборства в реальном масштабе времени.
На фиг.1 изображена структурная схема устройства для обнаружения компьютерных атак на информационно-телекоммуникационные сети военного назначения. На ней показаны блок памяти (1), диспетчер обновления ИНП (2), блок данных (3), модуль анализа ТИП (4), состоящий из модуля обнаружения атак на 1 этапе реализации (4.1), модуля обнаружения атак на 2 этапе реализации (4.2) и модуля обнаружения атак на 3 этапе реализации (4.3), блок оповещения (5) и модуль интеллектуального самообучения (6), состоящий из блока формирования базы детекторов (6.1) и блока формирования шаблонов текущей активности (6.2).
Устройство содержит блок памяти, диспетчер обновления ИНП, блок данных, модуль анализа ТИП, блок оповещения и модуль интеллектуального самообучения. Модуль анализа ТИП состоит из модуля обнаружения атак на 1 этапе реализации, модуля обнаружения атак на 2 этапе реализации и модуля обнаружения атак на 3 этапе реализации. Модуль интеллектуального самообучения состоит из блока формирования базы детекторов и блока формирования шаблонов текущей активности.
Устройство работает следующим образом:
1. Производится первоначальная настройка устройства, при которой создаются 3 части индивидуального нормального профиля (ИНП) защищаемого объекта ИТС ВН, а также для (4.1) устанавливается первоначальный порог чувствительности равный величине λ3;
За каждым защищаемым объектом закрепляется 3 набора событий, которые составляют его индивидуальный нормальный профиль:
Figure 00000008
где xij - j-й. процесс i-го объекта; n - общее число процессов, m - общее число объектов в ИТС ВН.
2. Далее в блоке формирования базы детекторов (6.1) модуля интеллектуального самообучения (6) из каждого набора процессов происходит создание шаблонов нормальной активности по следующему алгоритму:
Этап 1. Выбранный набор представляется в виде ряда дискретных элементов, составленных из букв конечного алфавита (32-битных идентификационных кодов, присваевымых каждому произошедшему на защищаемом объекте событию (одинаковые события имеют одинаковые идентификационные коды);
Этап 2. Выбирается размер окна l, определяющего длину нормального шаблона активности;
Этап 3. Окно движется вдоль ряда данных с шагом смещения, определяемым параметром Q;
Размер окна l и шаг смещения Q выбирается таким образом, чтобы обеспечить требуемый порог чувствительности на каждом этапе работы устройства.
Этап 4. Выделенные данные сохраняются в базе как шаблоны нормальной активности.
3. Далее в (6.1) происходит непосредственное формирование базы детекторов.
На первом этапе формирования, в качестве пре-детекторов используются шаблоны нормальной активности 1 части индивидуального нормального профиля защищаемого объекта ИТС ВН. В последующем, генерация детекторов происходит с применением репродуктивного плана Холланда (РПХ).
Основными понятиями репродуктивного плана Холланда являются:
- ген - атомарный элемент хромосомы;
- аллель - значение конкретного гена;
- локус - позиция гена в хромосоме;
- хромосома - упорядоченная последовательность генов;
- популяция - конечное множество хромосом.
При использовании репродуктивного плана Холланда для создания базы детекторов компьютерных атак, можно совместить понятия хромосома и детектор, популяция и набор детекторов, ген и 32-битный идентификационный код.
Каждый новый набор кандидатов в детекторы SL выбирается из полученных хромосом при очередной итерации РПХ.
Каждая итерация РПХ состоит из следующих этапов:
Этап 1. Инициализация.
На этапе инициализации вводится точка отсчета эпох t0=0, случайным образом инициализируется M генотипов и формируется начальная популяция
Figure 00000009
. В качестве начальной популяции при первой итерации РПХ используются шаблоны нормальной активности 1 части ИНП защищаемого объекта ИТС ВН, а при дальнейших итерациях в качестве начальной популяции используются хромосомы, полученные при предыдущей итерации репродуктивного плана Холланда.
Этап 2. Оценка приспособленности хромосом в популяции.
Оценка приспособленности хромосом состоит в расчете функции приспособленности Fpr для каждой хромосомы популяции
Figure 00000010
:
Figure 00000011
где r - максимальное количество генов в хромосоме, совпавших с генами одной из исходных хромосом; l - длина хромосомы и средней приспособленности по популяции:
Figure 00000012
Этап 3. Проверка условия остановки РПХ.
Условием остановки РПХ является получение популяции хромосом NR, каждая из которых не совпадает ни с одной из хромосом множества имеющихся кандидатов в детекторы SL.
В случае если условие окончания работы РПХ выполняется, текущая популяция хромосом NR добавляется к набору кандидатов в детекторы SL, в противном случае происходит переход на следующий этап РПХ.
Этап 4. Селекция хромосом.
Селекция хромосом заключается в выборе тех хромосом, которые будут участвовать в создании потомков для следующей популяции. Этот выбор происходит в соответствии с принципами естественного отбора, когда наибольшие шансы быть выбранными в родителя имеют хромосомы, с наибольшими значениями функции приспособленности.
Для выбора родительских пар хромосом используется метод Монте-Карло. Каждой хромосоме X1, X2, …, Xn, n=1, 2, …, N (где N - численность популяции) соответствует сектор колеса рулетки VXn - выраженный в процентах:
Figure 00000013
где
Figure 00000014
Здесь Fpr(Xn) - значение функции приспособленности хромосомы Xn; p(Xn) - вероятность селекции хромосомы Xn. Чем больше сектор колеса, тем больше вероятность выбора соответствующей хромосомы. Выбор хромосомы осуществляется случайным выбором числа из интервала [0, 100].
В результате этого процесса создается родительская популяция с численностью, равной численности текущей популяции.
Этап 5. Применение генетических операторов.
Данный этап приводит к образованию новой популяции хромосом (потомков) от родительской популяции. Применяются два основных оператора: кроссинговер и оператор мутации.
На первом этапе кроссинговера (скрещивания) выбираются пары хромосом из родительской популяции. Эта популяция состоит из хромосом, отобранных на этапе селекции. Объединение хромосом в пары производится случайным образом с вероятностью скрещивания PS. Используется вероятность скрещивания PS=0,5.
Для каждой пары отобранных родителей выбирается точка скрещивания (локус) - позиция в которой каждый из родителей будет разделен на 2 части. Выбор точки скрещивания сводится к случайному выбору числа k из интервала [1, l-1]. В результате работы оператора кроссинговера получается пара потомков.
Оператор мутации изменяет значение гена в хромосоме на иное с вероятностью Pm. Используется вероятность мутации Pm=0,01.
Этап 6. Формирование новой популяции.
Хромосомы, полученные в результате выполнения генетических операторов над родительской популяцией, включаются в состав новой популяции для очередной итерации РПХ.
При каждой итерации РПХ рассчитывается значение функции приспособленности Fpr для каждой из хромосом этой популяции, после чего проверяется условие остановки РПХ.
Процесс создания детекторов из шаблонов нормальной активности 2 и 3 частей ИНП, аналогичен процессу создания детекторов 1 части ИНП.
Количество детекторов, необходимых для решения задачи обнаружения компьютерных атак определяется следующим образом:
Figure 00000015
Формула (6) определяет число строк кандидатов в детекторы, которые необходимо сгенерировать на этапе обучения, в функции от вероятности необнаружения компьютерной атаки (
Figure 00000016
), числа нормальных шаблонов активности (Nw), и вероятности совпадения двух сгенерированных строк (Pm).
Figure 00000017
где m - количество символов алфавита, r - максимальное количество генов в хромосоме, совпавших с генами одной из исходных хромосом; l - длина хромосомы.
4. Созданная в (6.1) база детекторов записывается в (1).
5. В процессе функционирования ИТС ВН в (6.2), текущий индивидуальный профиль, сформированный в (3) преобразовывается в шаблоны текущей активности, по алгоритму, определенному для шаблонов нормальной активности.
6. В (4.1) полученные из (6.2) шаблоны текущей активности 1 части ТИП сравниваются с детекторами 1 части ИНП, полученными из (1). В случае совпадения регистрируется компьютерная атака на ИТС ВН и сигнал об это передается в (5).
В случае если на основании анализа устройство не может принять однозначного решения о наличии или отсутствии факта компьютерной атаки, т.е. когда присутствует частичное совпадение шаблона текущей активности и детектора, но порог чувствительности не превышен, оно автоматически понижает порог чувствительности в (4.2) до величины λ5 и переходит к выполнению следующего пункта алгоритма.
7. В (4.2) полученные из (6.2) шаблоны текущей активности 2 части ТИП сравниваются с детекторами 2 части ИНП, полученными из (1). В случае совпадения регистрируется компьютерная атака на ИТС ВН и сигнал об это передается в (5).
В случае если на основании анализа устройство не может принять однозначного решения о наличии или отсутствии факта компьютерной атаки, оно автоматически понижает порог чувствительности в (4.3) до величины λ9, и переходит к выполнению следующего пункта алгоритма.
8. В (4.3) полученные из (6.2) шаблоны текущей активности 3 части ТИП сравниваются с детекторами 3 части ИНП, полученными из (1). В случае любого совпадения регистрируется компьютерная атака на ИТС ВН и сигнал об это передается в (5).
В случае изменения условий функционирования ИТС ВН в (2) производится подстройка ИНП защищаемого объекта ИТС ВН.
Имитационное моделирование предлагаемого устройства для обнаружения компьютерных атак на информационно-телекоммуникационные сети военного назначения показало, что оно способно обнаруживать как известные, так и неизвестные компьютерные атаки в масштабе реального времени с количеством ошибок 1 и 2 рода, не превышающим допустимых значений для средств обнаружения компьютерных атак, предназначенных для использования в составе информационно-телекоммуникационных сетей военного назначения.

Claims (1)

  1. Устройство для обнаружения компьютерных атак на информационно-телекоммуникационные сети военного назначения, содержащее блок памяти, диспетчер обновления индивидуального нормального профиля (ИНП), блок данных, модуль анализа текущего индивидуального профиля (ТИП), состоящий из модуля обнаружения атак на 1 этапе реализации, модуля обнаружения атак на 2 этапе реализации и модуля обнаружения атак на 3 этапе реализации, и блок оповещения, отличающееся тем, что в конструкции устройства предложено использовать модуль интеллектуального самообучения, состоящий из блока формирования базы детекторов, формирующего базу детекторов компьютерных атак, входы которого соединены с выходами диспетчера обновления ИНП, а выходы - с входами блока памяти; блока формирования шаблонов текущей активности, формирующего шаблоны нормальной активности индивидуального нормального профиля защищаемого объекта, входы которого соединены с выходами блока данных, а выходы - с входами модуля анализа ТИП.
    Figure 00000001
RU2013125832/08U 2013-06-04 2013-06-04 Устройство для обнаружения компьютерных атак на информационно-телекоммуникационные сети военного назначения RU141239U1 (ru)

Priority Applications (1)

Application Number Priority Date Filing Date Title
RU2013125832/08U RU141239U1 (ru) 2013-06-04 2013-06-04 Устройство для обнаружения компьютерных атак на информационно-телекоммуникационные сети военного назначения

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
RU2013125832/08U RU141239U1 (ru) 2013-06-04 2013-06-04 Устройство для обнаружения компьютерных атак на информационно-телекоммуникационные сети военного назначения

Publications (1)

Publication Number Publication Date
RU141239U1 true RU141239U1 (ru) 2014-05-27

Family

ID=50780314

Family Applications (1)

Application Number Title Priority Date Filing Date
RU2013125832/08U RU141239U1 (ru) 2013-06-04 2013-06-04 Устройство для обнаружения компьютерных атак на информационно-телекоммуникационные сети военного назначения

Country Status (1)

Country Link
RU (1) RU141239U1 (ru)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2661533C1 (ru) * 2017-09-29 2018-07-17 Акционерное общество "Лаборатория Касперского" Система и способ обнаружения признаков компьютерной атаки
US10873590B2 (en) 2017-09-29 2020-12-22 AO Kaspersky Lab System and method of cloud detection, investigation and elimination of targeted attacks
RU204094U1 (ru) * 2020-07-09 2021-05-06 федеральное государственное казенное военное образовательное учреждение высшего образования "Краснодарское высшее военное орденов Жукова и Октябрьской Революции Краснознаменное училище имени генерала армии С.М. Штеменко" Министерства обороны Российской Федерации Устройство комплексного контроля состояния защищенности автоматизированных систем

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2661533C1 (ru) * 2017-09-29 2018-07-17 Акционерное общество "Лаборатория Касперского" Система и способ обнаружения признаков компьютерной атаки
US10873590B2 (en) 2017-09-29 2020-12-22 AO Kaspersky Lab System and method of cloud detection, investigation and elimination of targeted attacks
RU204094U1 (ru) * 2020-07-09 2021-05-06 федеральное государственное казенное военное образовательное учреждение высшего образования "Краснодарское высшее военное орденов Жукова и Октябрьской Революции Краснознаменное училище имени генерала армии С.М. Штеменко" Министерства обороны Российской Федерации Устройство комплексного контроля состояния защищенности автоматизированных систем

Similar Documents

Publication Publication Date Title
Wang et al. Prioritizing test inputs for deep neural networks via mutation analysis
EP3490223B1 (en) System and method for simulating and foiling attacks on a vehicle on-board network
CN112365171A (zh) 基于知识图谱的风险预测方法、装置、设备及存储介质
CN112615888B (zh) 一种网络攻击行为的威胁评估方法及装置
CN111401700A (zh) 一种数据分析方法、装置、计算机系统及可读存储介质
CN108595655A (zh) 一种基于会话特征相似性模糊聚类的异常用户检测方法
CN109698823B (zh) 一种网络威胁发现方法
RU141239U1 (ru) Устройство для обнаружения компьютерных атак на информационно-телекоммуникационные сети военного назначения
US8751209B2 (en) Simulation cache to expedite complex modeling and simulation processes
CN110868312A (zh) 一种基于遗传算法优化的工业行为异常检测方法
CN114448657B (zh) 一种配电通信网络安全态势感知与异常入侵检测方法
Xu et al. Research on E-commerce transaction payment system basedf on C4. 5 decision tree data mining algorithm
Pokharel et al. Supervised learning and prediction of spatial epidemics
KR20190028880A (ko) 봇넷 탐지 시스템을 학습하기 위한 학습 데이터를 생성하는 방법 및 그 장치
Zhong et al. Ea-based evacuation planning using agent-based crowd simulation
CN116884192A (zh) 一种电力生产作业风险预警方法、系统和设备
CN116842949A (zh) 事件提取方法、装置、电子设备和存储介质
Malik et al. Performance Evaluation of Classification Algorithms for Intrusion Detection on NSL-KDD Using Rapid Miner
CN114357182A (zh) 一种基于人工智能的生产应急管理方法及系统
CN109145554A (zh) 一种基于支持向量机的击键特征异常用户识别方法及系统
Gomathy et al. Network intrusion detection using genetic algorithm and neural network
Alexandra-Cristina et al. Material survey on source code plagiarism detection in programming courses
CN105763319A (zh) 一种随机多态验证码生成方法
Chiew et al. Analysis of burglary crime patterns through the integration of spatial statistics and Agent-Based Modelling
CN117095507A (zh) 一种多模态施工场所禁行区域围栏告警方法及装置

Legal Events

Date Code Title Description
MM1K Utility model has become invalid (non-payment of fees)

Effective date: 20150605