RU2013134440A - METHOD FOR DETECTING COMPUTER ATTACKS ON A NETWORK COMPUTER SYSTEM - Google Patents
METHOD FOR DETECTING COMPUTER ATTACKS ON A NETWORK COMPUTER SYSTEM Download PDFInfo
- Publication number
- RU2013134440A RU2013134440A RU2013134440/08A RU2013134440A RU2013134440A RU 2013134440 A RU2013134440 A RU 2013134440A RU 2013134440/08 A RU2013134440/08 A RU 2013134440/08A RU 2013134440 A RU2013134440 A RU 2013134440A RU 2013134440 A RU2013134440 A RU 2013134440A
- Authority
- RU
- Russia
- Prior art keywords
- tcp
- incoming
- condition
- traffic
- packets
- Prior art date
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
Способ обнаружения компьютерных атак на сетевую компьютерную систему, включающую, по крайней мере, один компьютер, подключенный к сети и имеющийустановленную операционную систему;установленное прикладное программное обеспечение, включающее систему анализа трафика, которая выполнена с возможностьюприема из сети и запоминания пакетов сообщений;определения характеристик пакетов сообщений;проведения расчетов для пакетов сообщений и их характеристик;формирования сигналов о наличии атаки по результатам расчетов; способ, заключающийся в том, чтоустанавливают и запоминают пороговые значения параметров, причем в качестве параметров, рассчитываемых в единицу времени, выбираются следующие:R=V/V,где V- объем входящего трафика, принятого по протоколу IP;V- объем исходящего трафика, отправленного по протоколу IP;N- количество потоков критических приложений;D=|N-N|,где N- количество исходящих ACK-флагов в TCP-трафике;N- количество входящих ACK-флагов в TCP-трафике;R=V/V,где V- объем входящего UDP-трафика;V- объем входящего TCP-трафика;R=N/N,где N- количество входящих UDP-пакетов;N- количество входящих TCP-пакетов;R=V/V,где V- объем входящего трафика, полученного по протоколу ICMP;R=N/N,где N- количество SYN-флагов во входящих пакетах, переданных по протоколу TCP;N- количество PSH-флагов во входящих пакетах, переданных по протоколу TCP;R=N/(N-N),L=V/N,где N- количество входящих пакетов, передаваемых по протоколу IP;L=V/N;принимают из сети последовательность пакетов сообщений;запоминают принятые пакеты сообщений;выделяют из запомненных пакетов сообщений характеризующие их данные;рассчитывают значения параметров, зависящих от полученных пакетов сообщений;сравнивают рас�A method for detecting computer attacks on a network computer system including at least one computer connected to a network and having an installed operating system; installed application software including a traffic analysis system that is configured to receive and store message packets from the network; determine packet characteristics messages; carrying out calculations for message packets and their characteristics; generating signals about the presence of an attack according to the results of calculations; the method is that the threshold values of the parameters are set and stored, and the following are selected as parameters calculated per unit time: R = V / V, where V is the amount of incoming traffic received over IP, V is the amount of outgoing traffic, sent over IP; N is the number of critical application flows; D = | NN |, where N is the number of outgoing ACK flags in TCP traffic; N is the number of incoming ACK flags in TCP traffic; R = V / V, where V is the amount of incoming UDP traffic; V is the amount of incoming TCP traffic; R = N / N, where N is the number of incoming UDP packets; N is the number the number of incoming TCP packets; R = V / V, where V is the amount of incoming traffic received via ICMP; R = N / N, where N is the number of SYN flags in incoming packets transmitted via TCP; N is the number of PSH - flags in incoming packets transmitted over TCP; R = N / (NN), L = V / N, where N is the number of incoming packets transmitted over IP; L = V / N; receive a sequence of message packets from the network; remember received message packets; extract data characterizing their messages from stored message packets; calculate values of parameters depending on received packets from bscheny; comparing races
Claims (1)
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
RU2013134440/08A RU2538292C1 (en) | 2013-07-24 | 2013-07-24 | Method of detecting computer attacks to networked computer system |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
RU2013134440/08A RU2538292C1 (en) | 2013-07-24 | 2013-07-24 | Method of detecting computer attacks to networked computer system |
Publications (2)
Publication Number | Publication Date |
---|---|
RU2538292C1 RU2538292C1 (en) | 2015-01-10 |
RU2013134440A true RU2013134440A (en) | 2015-01-27 |
Family
ID=53281246
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
RU2013134440/08A RU2538292C1 (en) | 2013-07-24 | 2013-07-24 | Method of detecting computer attacks to networked computer system |
Country Status (1)
Country | Link |
---|---|
RU (1) | RU2538292C1 (en) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
RU2769651C2 (en) * | 2020-08-24 | 2022-04-04 | Акционерное общество "Лаборатория Касперского" | Method for forming a signature for detecting unauthorised access to a computer obtained using remote administration means, and system implementing the method |
Families Citing this family (39)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
RU2611243C1 (en) * | 2015-10-05 | 2017-02-21 | Сергей Николаевич Андреянов | Method for detecting destabilizing effect on computer network |
RU2615317C1 (en) * | 2016-01-28 | 2017-04-04 | Федеральное государственное казенное военное образовательное учреждение высшего образования "Академия Федеральной службы охраны Российской Федерации" (Академия ФСО России) | Method for detection of malicious software codes in network data traffic, including exposed to combination of polymorphic transformations |
RU2625045C1 (en) * | 2016-03-11 | 2017-07-11 | Федеральное государственное казенное военное образовательное учреждение высшего образования "Академия Федеральной службы охраны Российской Федерации" (Академия ФСО России) | Method of modeling damage evaluation caused by network and computer attacks to virtual private networks |
RU2628913C1 (en) * | 2016-04-18 | 2017-08-22 | Вадим Геннадиевич Фёдоров | Method of detecting remote attacks on automated control systems |
RU2644537C2 (en) * | 2016-07-05 | 2018-02-12 | Общество с ограниченной ответственностью "Айдеко" | Method of determination of type of network traffic for filtration and controlling network connections |
RU2634211C1 (en) | 2016-07-06 | 2017-10-24 | Общество с ограниченной ответственностью "Траст" | Method and system of protocols analysis of harmful programs interaction with control centers and detection of computer attacks |
RU2649793C2 (en) | 2016-08-03 | 2018-04-04 | ООО "Группа АйБи" | Method and system of detecting remote connection when working on web resource pages |
RU2634209C1 (en) | 2016-09-19 | 2017-10-24 | Общество с ограниченной ответственностью "Группа АйБи ТДС" | System and method of autogeneration of decision rules for intrusion detection systems with feedback |
RU2647616C1 (en) * | 2016-12-21 | 2018-03-16 | Общество с ограниченной ответственностью "ОНСЕК ИНК." | Method of detecting brute force attack on web service |
RU2637477C1 (en) | 2016-12-29 | 2017-12-04 | Общество с ограниченной ответственностью "Траст" | System and method for detecting phishing web pages |
RU2671991C2 (en) | 2016-12-29 | 2018-11-08 | Общество с ограниченной ответственностью "Траст" | System and method for collecting information for detecting phishing |
RU2649290C1 (en) * | 2017-04-28 | 2018-03-30 | Акционерное общество "Лаборатория Касперского" | SYSTEM AND METHOD OF TRAFFIC FILTRATION AT DDoS-ATTACK DETECTION |
RU2661533C1 (en) * | 2017-09-29 | 2018-07-17 | Акционерное общество "Лаборатория Касперского" | System and method of detecting the signs of computer attacks |
US10873590B2 (en) | 2017-09-29 | 2020-12-22 | AO Kaspersky Lab | System and method of cloud detection, investigation and elimination of targeted attacks |
RU2689816C2 (en) | 2017-11-21 | 2019-05-29 | ООО "Группа АйБи" | Method for classifying sequence of user actions (embodiments) |
RU2683631C1 (en) * | 2017-12-08 | 2019-03-29 | федеральное государственное казенное военное образовательное учреждение высшего образования "Военная академия связи имени Маршала Советского Союза С.М. Буденного" Министерства обороны Российской Федерации | Computer attacks detection method |
RU2680756C1 (en) * | 2017-12-14 | 2019-02-26 | Федеральное государственное автономное образовательное учреждение дополнительного профессионального образования "Центр реализации государственной образовательной политики и информационных технологий" | Method of detecting network attacks based on analysis of traffic time structure |
RU2668710C1 (en) | 2018-01-17 | 2018-10-02 | Общество с ограниченной ответственностью "Группа АйБи ТДС" | Computing device and method for detecting malicious domain names in network traffic |
RU2676247C1 (en) | 2018-01-17 | 2018-12-26 | Общество С Ограниченной Ответственностью "Группа Айби" | Web resources clustering method and computer device |
RU2680736C1 (en) | 2018-01-17 | 2019-02-26 | Общество с ограниченной ответственностью "Группа АйБи ТДС" | Malware files in network traffic detection server and method |
RU2677368C1 (en) | 2018-01-17 | 2019-01-16 | Общество С Ограниченной Ответственностью "Группа Айби" | Method and system for automatic determination of fuzzy duplicates of video content |
RU2677361C1 (en) | 2018-01-17 | 2019-01-16 | Общество с ограниченной ответственностью "Траст" | Method and system of decentralized identification of malware programs |
RU2681699C1 (en) | 2018-02-13 | 2019-03-12 | Общество с ограниченной ответственностью "Траст" | Method and server for searching related network resources |
RU2704741C2 (en) * | 2018-03-16 | 2019-10-30 | Федеральное государственное автономное образовательное учреждение дополнительного профессионального образования "Центр реализации государственной образовательной политики и информационных технологий" | Method of protection against ddos-attack on basis of traffic classification |
RU2708508C1 (en) | 2018-12-17 | 2019-12-09 | Общество с ограниченной ответственностью "Траст" | Method and a computing device for detecting suspicious users in messaging systems |
RU2701040C1 (en) | 2018-12-28 | 2019-09-24 | Общество с ограниченной ответственностью "Траст" | Method and a computer for informing on malicious web resources |
SG11202101624WA (en) | 2019-02-27 | 2021-03-30 | Group Ib Ltd | Method and system for user identification by keystroke dynamics |
RU2728289C1 (en) * | 2019-07-26 | 2020-07-29 | Федеральное государственное казенное военное образовательное учреждение высшего образования Академия Федеральной службы охраны Российской Федерации | System for selecting means and methods of protecting organizational and technical systems from group heterogeneous information and technical impacts |
RU2728498C1 (en) | 2019-12-05 | 2020-07-29 | Общество с ограниченной ответственностью "Группа АйБи ТДС" | Method and system for determining software belonging by its source code |
RU2728497C1 (en) | 2019-12-05 | 2020-07-29 | Общество с ограниченной ответственностью "Группа АйБи ТДС" | Method and system for determining belonging of software by its machine code |
RU2743974C1 (en) | 2019-12-19 | 2021-03-01 | Общество с ограниченной ответственностью "Группа АйБи ТДС" | System and method for scanning security of elements of network architecture |
SG10202001963TA (en) | 2020-03-04 | 2021-10-28 | Group Ib Global Private Ltd | System and method for brand protection based on the search results |
US11475090B2 (en) | 2020-07-15 | 2022-10-18 | Group-Ib Global Private Limited | Method and system for identifying clusters of affiliated web resources |
RU2743619C1 (en) | 2020-08-06 | 2021-02-20 | Общество с ограниченной ответственностью "Группа АйБи ТДС" | Method and system for generating the list of compromise indicators |
US11947572B2 (en) | 2021-03-29 | 2024-04-02 | Group IB TDS, Ltd | Method and system for clustering executable files |
US20240250974A1 (en) | 2021-04-30 | 2024-07-25 | "Limited Liability Company "Variti Plus" | System for automatically evaluating the quality of network traffic signatures |
NL2030861B1 (en) | 2021-06-01 | 2023-03-14 | Trust Ltd | System and method for external monitoring a cyberattack surface |
RU2769075C1 (en) | 2021-06-10 | 2022-03-28 | Общество с ограниченной ответственностью "Группа АйБи ТДС" | System and method for active detection of malicious network resources |
CN114666001B (en) * | 2022-02-23 | 2024-04-02 | 中国电子科技集团公司第三十研究所 | Time synchronization system and multi-stage safety monitoring method, equipment and medium thereof |
Family Cites Families (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8423645B2 (en) * | 2004-09-14 | 2013-04-16 | International Business Machines Corporation | Detection of grid participation in a DDoS attack |
RU2381550C2 (en) * | 2007-06-04 | 2010-02-10 | Академия ФСО России | Method of monitoring web server security |
RU2480937C2 (en) * | 2011-04-19 | 2013-04-27 | Закрытое акционерное общество "Лаборатория Касперского" | System and method of reducing false responses when detecting network attack |
RU2483348C1 (en) * | 2012-04-26 | 2013-05-27 | Федеральное государственное казенное военное образовательное учреждение высшего профессионального образования "ВОЕННАЯ АКАДЕМИЯ СВЯЗИ имени Маршала Советского Союза С.М. Буденного" Министерства обороны Российской Федерации | Method to protect information computer networks against computer attacks |
-
2013
- 2013-07-24 RU RU2013134440/08A patent/RU2538292C1/en active
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
RU2769651C2 (en) * | 2020-08-24 | 2022-04-04 | Акционерное общество "Лаборатория Касперского" | Method for forming a signature for detecting unauthorised access to a computer obtained using remote administration means, and system implementing the method |
Also Published As
Publication number | Publication date |
---|---|
RU2538292C1 (en) | 2015-01-10 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
RU2013134440A (en) | METHOD FOR DETECTING COMPUTER ATTACKS ON A NETWORK COMPUTER SYSTEM | |
US9544273B2 (en) | Network traffic processing system | |
CN105491060B (en) | Method, apparatus, client and the equipment of defending distributed denial of service attack | |
CN108234473B (en) | Message anti-attack method and device | |
Wang et al. | OF-GUARD: A DoS attack prevention extension in software-defined networks | |
Cambiaso et al. | Slowcomm: Design, development and performance evaluation of a new slow DoS attack | |
CN111835708A (en) | Characteristic information analysis method and device | |
Bakhtiar et al. | A lightweight ids based on J48 algorithm for detecting dos attacks on IoT Middleware | |
Huang et al. | A DDoS mitigation system with multi-stage detection and text-based turing testing in cloud computing | |
Du et al. | DDoS defense deployment with network egress and ingress filtering | |
CN112187793B (en) | Protection method and device for ACK Flood attack | |
KR20180052324A (en) | Apparatus and method for detecting drdos | |
CN106487790B (en) | Cleaning method and system for ACK FLOOD attacks | |
Paolucci et al. | P4-based multi-layer traffic engineering encompassing cyber security | |
Vasilomanolakis et al. | Did you really hack a nuclear power plant? An industrial control mobile honeypot | |
Şimşek | A new metric for flow‐level filtering of low‐rate DDoS attacks | |
US10547560B1 (en) | Monitoring network communications queues | |
Aborujilah et al. | Detecting TCP SYN based flooding attacks by analyzing CPU and network resources performance | |
CN104158823A (en) | Simulation method oriented to LDoS (Low-rate Denial of Service) and LDDoS (Low-rate Distributed Denial of Service) | |
CN106534111A (en) | Method for defending network attack for cloud platform based on flow rule | |
WO2019096104A1 (en) | Attack prevention | |
Modi et al. | Detection and prevention of DDoS attacks on the cloud using double-TCP mechanism and HMM-based architecture | |
Patel et al. | Throughput analysis of AQM schemes under low-rate Denial of Service attacks | |
CN106817268B (en) | DDOS attack detection method and system | |
Akbar et al. | Leveraging the sip load balancer to detect and mitigate ddos attacks |