RU2013134440A - METHOD FOR DETECTING COMPUTER ATTACKS ON A NETWORK COMPUTER SYSTEM - Google Patents

METHOD FOR DETECTING COMPUTER ATTACKS ON A NETWORK COMPUTER SYSTEM Download PDF

Info

Publication number
RU2013134440A
RU2013134440A RU2013134440/08A RU2013134440A RU2013134440A RU 2013134440 A RU2013134440 A RU 2013134440A RU 2013134440/08 A RU2013134440/08 A RU 2013134440/08A RU 2013134440 A RU2013134440 A RU 2013134440A RU 2013134440 A RU2013134440 A RU 2013134440A
Authority
RU
Russia
Prior art keywords
tcp
incoming
condition
traffic
packets
Prior art date
Application number
RU2013134440/08A
Other languages
Russian (ru)
Other versions
RU2538292C1 (en
Inventor
Роза Равильевна Фаткиева
Алексей Юрьевич Атисков
Дмитрий Константинович Левоневский
Original Assignee
Открытое Акционерное Общество "Информационные Технологии И Коммуникационные Системы"
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Открытое Акционерное Общество "Информационные Технологии И Коммуникационные Системы" filed Critical Открытое Акционерное Общество "Информационные Технологии И Коммуникационные Системы"
Priority to RU2013134440/08A priority Critical patent/RU2538292C1/en
Application granted granted Critical
Publication of RU2538292C1 publication Critical patent/RU2538292C1/en
Publication of RU2013134440A publication Critical patent/RU2013134440A/en

Links

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

Способ обнаружения компьютерных атак на сетевую компьютерную систему, включающую, по крайней мере, один компьютер, подключенный к сети и имеющийустановленную операционную систему;установленное прикладное программное обеспечение, включающее систему анализа трафика, которая выполнена с возможностьюприема из сети и запоминания пакетов сообщений;определения характеристик пакетов сообщений;проведения расчетов для пакетов сообщений и их характеристик;формирования сигналов о наличии атаки по результатам расчетов; способ, заключающийся в том, чтоустанавливают и запоминают пороговые значения параметров, причем в качестве параметров, рассчитываемых в единицу времени, выбираются следующие:R=V/V,где V- объем входящего трафика, принятого по протоколу IP;V- объем исходящего трафика, отправленного по протоколу IP;N- количество потоков критических приложений;D=|N-N|,где N- количество исходящих ACK-флагов в TCP-трафике;N- количество входящих ACK-флагов в TCP-трафике;R=V/V,где V- объем входящего UDP-трафика;V- объем входящего TCP-трафика;R=N/N,где N- количество входящих UDP-пакетов;N- количество входящих TCP-пакетов;R=V/V,где V- объем входящего трафика, полученного по протоколу ICMP;R=N/N,где N- количество SYN-флагов во входящих пакетах, переданных по протоколу TCP;N- количество PSH-флагов во входящих пакетах, переданных по протоколу TCP;R=N/(N-N),L=V/N,где N- количество входящих пакетов, передаваемых по протоколу IP;L=V/N;принимают из сети последовательность пакетов сообщений;запоминают принятые пакеты сообщений;выделяют из запомненных пакетов сообщений характеризующие их данные;рассчитывают значения параметров, зависящих от полученных пакетов сообщений;сравнивают рас�A method for detecting computer attacks on a network computer system including at least one computer connected to a network and having an installed operating system; installed application software including a traffic analysis system that is configured to receive and store message packets from the network; determine packet characteristics messages; carrying out calculations for message packets and their characteristics; generating signals about the presence of an attack according to the results of calculations; the method is that the threshold values of the parameters are set and stored, and the following are selected as parameters calculated per unit time: R = V / V, where V is the amount of incoming traffic received over IP, V is the amount of outgoing traffic, sent over IP; N is the number of critical application flows; D = | NN |, where N is the number of outgoing ACK flags in TCP traffic; N is the number of incoming ACK flags in TCP traffic; R = V / V, where V is the amount of incoming UDP traffic; V is the amount of incoming TCP traffic; R = N / N, where N is the number of incoming UDP packets; N is the number the number of incoming TCP packets; R = V / V, where V is the amount of incoming traffic received via ICMP; R = N / N, where N is the number of SYN flags in incoming packets transmitted via TCP; N is the number of PSH - flags in incoming packets transmitted over TCP; R = N / (NN), L = V / N, where N is the number of incoming packets transmitted over IP; L = V / N; receive a sequence of message packets from the network; remember received message packets; extract data characterizing their messages from stored message packets; calculate values of parameters depending on received packets from bscheny; comparing races

Claims (1)

Способ обнаружения компьютерных атак на сетевую компьютерную систему, включающую, по крайней мере, один компьютер, подключенный к сети и имеющийA method for detecting computer attacks on a network computer system comprising at least one computer connected to a network and having установленную операционную систему;installed operating system; установленное прикладное программное обеспечение, включающее систему анализа трафика, которая выполнена с возможностьюinstalled application software including a traffic analysis system that is configured to приема из сети и запоминания пакетов сообщений;receiving from the network and storing message packets; определения характеристик пакетов сообщений;characterization of message packets; проведения расчетов для пакетов сообщений и их характеристик;calculations for message packets and their characteristics; формирования сигналов о наличии атаки по результатам расчетов; способ, заключающийся в том, чтоgenerating signals about the presence of an attack based on the results of calculations; the method is that устанавливают и запоминают пороговые значения параметров, причем в качестве параметров, рассчитываемых в единицу времени, выбираются следующие:threshold parameters are set and stored, and the following are selected as parameters calculated per unit time: RIP=VIN/VOUT,R IP = V IN / V OUT , где VIN - объем входящего трафика, принятого по протоколу IP;where V IN is the amount of incoming traffic received over IP; VOUT - объем исходящего трафика, отправленного по протоколу IP;V OUT - the amount of outgoing traffic sent over IP; NCR - количество потоков критических приложений;N CR is the number of threads of critical applications; DACK=|NOUT-NIN|,D ACK = | N OUT -N IN |, где NOUT - количество исходящих ACK-флагов в TCP-трафике;where N OUT is the number of outgoing ACK flags in TCP traffic; NIN - количество входящих ACK-флагов в TCP-трафике;N IN - the number of incoming ACK flags in TCP traffic; RUDP=VUDP/VTCP,R UDP = V UDP / V TCP , где VUDP - объем входящего UDP-трафика;where V UDP is the amount of incoming UDP traffic; VTCP - объем входящего TCP-трафика;V TCP - the amount of incoming TCP traffic; RNUD=NUDP/NTCP,R NUD = N UDP / N TCP , где NUDP - количество входящих UDP-пакетов;where N UDP is the number of incoming UDP packets; NTCP - количество входящих TCP-пакетов;N TCP - the number of incoming TCP packets; RICM=VICM/VIN,R ICM = V ICM / V IN , где VICM - объем входящего трафика, полученного по протоколу ICMP;where V ICM is the amount of incoming traffic received via ICMP; RSP=NSYN/NPSH,R SP = N SYN / N PSH , где NSYN - количество SYN-флагов во входящих пакетах, переданных по протоколу TCP;where N SYN is the number of SYN flags in incoming packets transmitted over TCP; NPSH - количество PSH-флагов во входящих пакетах, переданных по протоколу TCP;N PSH - the number of PSH flags in incoming packets transmitted over TCP; RTCP=NPSH/(NTCP-NPSH),R TCP = N PSH / (N TCP -N PSH ), LAVG=VIN/NIP,L AVG = V IN / N IP , где NIP - количество входящих пакетов, передаваемых по протоколу IP;where N IP - the number of incoming packets transmitted over IP; LTCP=VTCP/NTCP;L TCP = V TCP / N TCP ; принимают из сети последовательность пакетов сообщений;receive a sequence of message packets from the network; запоминают принятые пакеты сообщений;remember the received message packets; выделяют из запомненных пакетов сообщений характеризующие их данные;extracting data characterizing their stored message packets; рассчитывают значения параметров, зависящих от полученных пакетов сообщений;calculate the values of the parameters depending on the received message packets; сравнивают рассчитанные значения параметров с пороговыми значениями;comparing the calculated parameter values with threshold values; принимают решение о факте наличия или отсутствия компьютерной атаки при сравнении рассчитанных значений параметров с пороговыми значениями;decide on the presence or absence of a computer attack when comparing the calculated parameter values with threshold values; определяют тип одиночной компьютерной атаки по сочетанию рассчитанных значений параметров на основе следующих условий,determine the type of a single computer attack by a combination of calculated parameter values based on the following conditions, если значения параметров RIP и NCR превысили пороговое значение, то определяется атака типа HTTP-flood (условие 1);if the values of the parameters R IP and N CR exceeded the threshold value, an attack of the HTTP flood type is determined (condition 1); если значения параметров RIP, DACK и RSP превысили пороговое значение, а RTCP и LTCP меньше порогового значения, то определяется атака типа SYN-flood (условие 2);if the values of the parameters R IP , D ACK, and R SP exceeded the threshold value, and R TCP and L TCP are less than the threshold value, then an SYN-flood attack is determined (condition 2); если значения параметров RIP, RTCP и DACK превысили пороговое значение, то определяется атака типа TCP-flood (условие 3);if the values of the parameters R IP , R TCP, and D ACK have exceeded the threshold value, an attack of the TCP-flood type is determined (condition 3); если значения параметров RIP, RUDP и RNUD превысили пороговое значение, то определяется атака типа UDP-flood (условие 4);if the values of the parameters R IP , R UDP, and R NUD exceeded the threshold value, then an attack of the UDP-flood type is determined (condition 4); если значения параметров RIP и RICM превысили пороговое значение, а LAVG меньше порогового значения, то определяется атака типа ICMP-flood (условие 5);if the values of the parameters R IP and R ICM have exceeded the threshold value, and L AVG is less than the threshold value, then an ICMP flood attack is determined (condition 5); определяют комбинированную компьютерную атаку по сочетанию рассчитанных значений параметров на основе следующих условий:determine a combined computer attack by a combination of calculated parameter values based on the following conditions: если одновременно выполняется условие 1 и условие 2, то определяется комбинированная атака HTTP-flood и SYN-flood;if condition 1 and condition 2 are fulfilled at the same time, then a combined HTTP-flood and SYN-flood attack is determined; если одновременно выполняется условие 1 и условие 3, то определяется комбинированная атака HTTP-flood и TCP-flood;if condition 1 and condition 3 are fulfilled at the same time, then a combined HTTP-flood and TCP-flood attack is determined; если одновременно выполняется условие 1 и условие 5, то определяется комбинированная атака HTTP-flood и ICMP-flood;if condition 1 and condition 5 are fulfilled simultaneously, then a combined HTTP-flood and ICMP-flood attack is determined; если одновременно выполняется условие 2 и условие 5, то определяется комбинированная атака SYN-flood и ICMP-flood;if condition 2 and condition 5 are simultaneously fulfilled, then a combined SYN-flood and ICMP-flood attack is determined; если одновременно выполняется условие 3 и условие 5, то определяется комбинированная атака TCP-flood и ICMP-flood. if condition 3 and condition 5 are simultaneously fulfilled, then a combined TCP-flood and ICMP-flood attack is determined.
RU2013134440/08A 2013-07-24 2013-07-24 Method of detecting computer attacks to networked computer system RU2538292C1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
RU2013134440/08A RU2538292C1 (en) 2013-07-24 2013-07-24 Method of detecting computer attacks to networked computer system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
RU2013134440/08A RU2538292C1 (en) 2013-07-24 2013-07-24 Method of detecting computer attacks to networked computer system

Publications (2)

Publication Number Publication Date
RU2538292C1 RU2538292C1 (en) 2015-01-10
RU2013134440A true RU2013134440A (en) 2015-01-27

Family

ID=53281246

Family Applications (1)

Application Number Title Priority Date Filing Date
RU2013134440/08A RU2538292C1 (en) 2013-07-24 2013-07-24 Method of detecting computer attacks to networked computer system

Country Status (1)

Country Link
RU (1) RU2538292C1 (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2769651C2 (en) * 2020-08-24 2022-04-04 Акционерное общество "Лаборатория Касперского" Method for forming a signature for detecting unauthorised access to a computer obtained using remote administration means, and system implementing the method

Families Citing this family (39)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2611243C1 (en) * 2015-10-05 2017-02-21 Сергей Николаевич Андреянов Method for detecting destabilizing effect on computer network
RU2615317C1 (en) * 2016-01-28 2017-04-04 Федеральное государственное казенное военное образовательное учреждение высшего образования "Академия Федеральной службы охраны Российской Федерации" (Академия ФСО России) Method for detection of malicious software codes in network data traffic, including exposed to combination of polymorphic transformations
RU2625045C1 (en) * 2016-03-11 2017-07-11 Федеральное государственное казенное военное образовательное учреждение высшего образования "Академия Федеральной службы охраны Российской Федерации" (Академия ФСО России) Method of modeling damage evaluation caused by network and computer attacks to virtual private networks
RU2628913C1 (en) * 2016-04-18 2017-08-22 Вадим Геннадиевич Фёдоров Method of detecting remote attacks on automated control systems
RU2644537C2 (en) * 2016-07-05 2018-02-12 Общество с ограниченной ответственностью "Айдеко" Method of determination of type of network traffic for filtration and controlling network connections
RU2634211C1 (en) 2016-07-06 2017-10-24 Общество с ограниченной ответственностью "Траст" Method and system of protocols analysis of harmful programs interaction with control centers and detection of computer attacks
RU2649793C2 (en) 2016-08-03 2018-04-04 ООО "Группа АйБи" Method and system of detecting remote connection when working on web resource pages
RU2634209C1 (en) 2016-09-19 2017-10-24 Общество с ограниченной ответственностью "Группа АйБи ТДС" System and method of autogeneration of decision rules for intrusion detection systems with feedback
RU2647616C1 (en) * 2016-12-21 2018-03-16 Общество с ограниченной ответственностью "ОНСЕК ИНК." Method of detecting brute force attack on web service
RU2637477C1 (en) 2016-12-29 2017-12-04 Общество с ограниченной ответственностью "Траст" System and method for detecting phishing web pages
RU2671991C2 (en) 2016-12-29 2018-11-08 Общество с ограниченной ответственностью "Траст" System and method for collecting information for detecting phishing
RU2649290C1 (en) * 2017-04-28 2018-03-30 Акционерное общество "Лаборатория Касперского" SYSTEM AND METHOD OF TRAFFIC FILTRATION AT DDoS-ATTACK DETECTION
RU2661533C1 (en) * 2017-09-29 2018-07-17 Акционерное общество "Лаборатория Касперского" System and method of detecting the signs of computer attacks
US10873590B2 (en) 2017-09-29 2020-12-22 AO Kaspersky Lab System and method of cloud detection, investigation and elimination of targeted attacks
RU2689816C2 (en) 2017-11-21 2019-05-29 ООО "Группа АйБи" Method for classifying sequence of user actions (embodiments)
RU2683631C1 (en) * 2017-12-08 2019-03-29 федеральное государственное казенное военное образовательное учреждение высшего образования "Военная академия связи имени Маршала Советского Союза С.М. Буденного" Министерства обороны Российской Федерации Computer attacks detection method
RU2680756C1 (en) * 2017-12-14 2019-02-26 Федеральное государственное автономное образовательное учреждение дополнительного профессионального образования "Центр реализации государственной образовательной политики и информационных технологий" Method of detecting network attacks based on analysis of traffic time structure
RU2668710C1 (en) 2018-01-17 2018-10-02 Общество с ограниченной ответственностью "Группа АйБи ТДС" Computing device and method for detecting malicious domain names in network traffic
RU2676247C1 (en) 2018-01-17 2018-12-26 Общество С Ограниченной Ответственностью "Группа Айби" Web resources clustering method and computer device
RU2680736C1 (en) 2018-01-17 2019-02-26 Общество с ограниченной ответственностью "Группа АйБи ТДС" Malware files in network traffic detection server and method
RU2677368C1 (en) 2018-01-17 2019-01-16 Общество С Ограниченной Ответственностью "Группа Айби" Method and system for automatic determination of fuzzy duplicates of video content
RU2677361C1 (en) 2018-01-17 2019-01-16 Общество с ограниченной ответственностью "Траст" Method and system of decentralized identification of malware programs
RU2681699C1 (en) 2018-02-13 2019-03-12 Общество с ограниченной ответственностью "Траст" Method and server for searching related network resources
RU2704741C2 (en) * 2018-03-16 2019-10-30 Федеральное государственное автономное образовательное учреждение дополнительного профессионального образования "Центр реализации государственной образовательной политики и информационных технологий" Method of protection against ddos-attack on basis of traffic classification
RU2708508C1 (en) 2018-12-17 2019-12-09 Общество с ограниченной ответственностью "Траст" Method and a computing device for detecting suspicious users in messaging systems
RU2701040C1 (en) 2018-12-28 2019-09-24 Общество с ограниченной ответственностью "Траст" Method and a computer for informing on malicious web resources
SG11202101624WA (en) 2019-02-27 2021-03-30 Group Ib Ltd Method and system for user identification by keystroke dynamics
RU2728289C1 (en) * 2019-07-26 2020-07-29 Федеральное государственное казенное военное образовательное учреждение высшего образования Академия Федеральной службы охраны Российской Федерации System for selecting means and methods of protecting organizational and technical systems from group heterogeneous information and technical impacts
RU2728498C1 (en) 2019-12-05 2020-07-29 Общество с ограниченной ответственностью "Группа АйБи ТДС" Method and system for determining software belonging by its source code
RU2728497C1 (en) 2019-12-05 2020-07-29 Общество с ограниченной ответственностью "Группа АйБи ТДС" Method and system for determining belonging of software by its machine code
RU2743974C1 (en) 2019-12-19 2021-03-01 Общество с ограниченной ответственностью "Группа АйБи ТДС" System and method for scanning security of elements of network architecture
SG10202001963TA (en) 2020-03-04 2021-10-28 Group Ib Global Private Ltd System and method for brand protection based on the search results
US11475090B2 (en) 2020-07-15 2022-10-18 Group-Ib Global Private Limited Method and system for identifying clusters of affiliated web resources
RU2743619C1 (en) 2020-08-06 2021-02-20 Общество с ограниченной ответственностью "Группа АйБи ТДС" Method and system for generating the list of compromise indicators
US11947572B2 (en) 2021-03-29 2024-04-02 Group IB TDS, Ltd Method and system for clustering executable files
US20240250974A1 (en) 2021-04-30 2024-07-25 "Limited Liability Company "Variti Plus" System for automatically evaluating the quality of network traffic signatures
NL2030861B1 (en) 2021-06-01 2023-03-14 Trust Ltd System and method for external monitoring a cyberattack surface
RU2769075C1 (en) 2021-06-10 2022-03-28 Общество с ограниченной ответственностью "Группа АйБи ТДС" System and method for active detection of malicious network resources
CN114666001B (en) * 2022-02-23 2024-04-02 中国电子科技集团公司第三十研究所 Time synchronization system and multi-stage safety monitoring method, equipment and medium thereof

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8423645B2 (en) * 2004-09-14 2013-04-16 International Business Machines Corporation Detection of grid participation in a DDoS attack
RU2381550C2 (en) * 2007-06-04 2010-02-10 Академия ФСО России Method of monitoring web server security
RU2480937C2 (en) * 2011-04-19 2013-04-27 Закрытое акционерное общество "Лаборатория Касперского" System and method of reducing false responses when detecting network attack
RU2483348C1 (en) * 2012-04-26 2013-05-27 Федеральное государственное казенное военное образовательное учреждение высшего профессионального образования "ВОЕННАЯ АКАДЕМИЯ СВЯЗИ имени Маршала Советского Союза С.М. Буденного" Министерства обороны Российской Федерации Method to protect information computer networks against computer attacks

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2769651C2 (en) * 2020-08-24 2022-04-04 Акционерное общество "Лаборатория Касперского" Method for forming a signature for detecting unauthorised access to a computer obtained using remote administration means, and system implementing the method

Also Published As

Publication number Publication date
RU2538292C1 (en) 2015-01-10

Similar Documents

Publication Publication Date Title
RU2013134440A (en) METHOD FOR DETECTING COMPUTER ATTACKS ON A NETWORK COMPUTER SYSTEM
US9544273B2 (en) Network traffic processing system
CN105491060B (en) Method, apparatus, client and the equipment of defending distributed denial of service attack
CN108234473B (en) Message anti-attack method and device
Wang et al. OF-GUARD: A DoS attack prevention extension in software-defined networks
Cambiaso et al. Slowcomm: Design, development and performance evaluation of a new slow DoS attack
CN111835708A (en) Characteristic information analysis method and device
Bakhtiar et al. A lightweight ids based on J48 algorithm for detecting dos attacks on IoT Middleware
Huang et al. A DDoS mitigation system with multi-stage detection and text-based turing testing in cloud computing
Du et al. DDoS defense deployment with network egress and ingress filtering
CN112187793B (en) Protection method and device for ACK Flood attack
KR20180052324A (en) Apparatus and method for detecting drdos
CN106487790B (en) Cleaning method and system for ACK FLOOD attacks
Paolucci et al. P4-based multi-layer traffic engineering encompassing cyber security
Vasilomanolakis et al. Did you really hack a nuclear power plant? An industrial control mobile honeypot
Şimşek A new metric for flow‐level filtering of low‐rate DDoS attacks
US10547560B1 (en) Monitoring network communications queues
Aborujilah et al. Detecting TCP SYN based flooding attacks by analyzing CPU and network resources performance
CN104158823A (en) Simulation method oriented to LDoS (Low-rate Denial of Service) and LDDoS (Low-rate Distributed Denial of Service)
CN106534111A (en) Method for defending network attack for cloud platform based on flow rule
WO2019096104A1 (en) Attack prevention
Modi et al. Detection and prevention of DDoS attacks on the cloud using double-TCP mechanism and HMM-based architecture
Patel et al. Throughput analysis of AQM schemes under low-rate Denial of Service attacks
CN106817268B (en) DDOS attack detection method and system
Akbar et al. Leveraging the sip load balancer to detect and mitigate ddos attacks