RU216567U1 - Система обнаружения вторжений уровня узла сети - Google Patents
Система обнаружения вторжений уровня узла сети Download PDFInfo
- Publication number
- RU216567U1 RU216567U1 RU2022117949U RU2022117949U RU216567U1 RU 216567 U1 RU216567 U1 RU 216567U1 RU 2022117949 U RU2022117949 U RU 2022117949U RU 2022117949 U RU2022117949 U RU 2022117949U RU 216567 U1 RU216567 U1 RU 216567U1
- Authority
- RU
- Russia
- Prior art keywords
- information
- backup
- input
- block
- unit
- Prior art date
Links
Images
Abstract
Полезная модель относится к области информационной безопасности, в частности к системам обнаружения вторжений, и предназначена для обнаружения вредоносных воздействий на узел сети. Технический результат заключается в повышении надежности и защищенности системы обнаружения воздействий уровня узла сети за счет обеспечения резервирования данных и аварийного восстановления в случае нештатной ситуации или сбоя. Предложенная система состоит из размещенных на сервере администрирования датчика анализа событий, датчика анализа трафика, датчика анализа взаимодействия с операционной системой, датчика активности соединений, контроллера целостности файлов, блока сбора информации и принятия решений, блока памяти, блока резервирования и аварийного восстановления, блока управления резервным копированием и аварийным восстановлением, устройства ввода-вывода. 1 ил.
Description
Полезная модель относится к области информационной безопасности, в частности к системам обнаружения вторжений.
Известна система регулирования конфигурации безопасности хоста (патент Канады СА 2607649 С, опубл. 02.06.2015), содержащая сервер-компьютер, который взаимодействует с множеством хостов, запоминающее устройство с машиночитаемыми инструкциями и процессор для их выполнения. Машиночитаемые инструкции включают в себя, в числе прочих, определение текущей конфигурации защиты целевого хоста; обнаружение несоответствий между указанной текущей и предыдущей конфигурациями хоста; установку текущей конфигурации защиты в целевом хосте при обнаружении несоответствия и др.
К недостаткам данной системы относится сложность работы с ней, низкий уровень создаваемых событий, что усложняет задачу определения инцидента информационной безопасности, а также чувствительность к аппаратным сбоям и отказам.
Наиболее близким техническим решением к заявляемой полезной модели является средство обнаружения вторжений уровня узла сети (патент на полезную модель №186198, опубл. 11.01.2019, Бюл. №2).
Средство выполнено в виде сервера администрирования, на котором установлены контролер целостности файлов и группа датчиков: анализа событий, анализа трафика, анализа взаимодействия с операционной системой, активности соединений. Средство также содержит соответствующим образом соединенные блок сбора информации и принятия решений и блок памяти, причем блок памяти выполнен с возможностью хранения сведений об инцидентах безопасности, а также установленных правилах политики информационной безопасности, а блок сбора информации и принятия решений выполнен с возможностью сбора информации и сведений об узле сети с группы датчиков, а также с возможностью на основе сравнения этой информации с данными блока памяти разрешать или блокировать какие-либо действия на узле сети при обнаружении вторжений уровня узла сети.
Недостатком устройства является невысокая надежность и незащищенность от компьютерных атак, направленных на подавление самого средства обнаружения вторжений.
Целью полезной модели является повышение надежности и защищенности системы обнаружения воздействий уровня узла сети за счет обеспечения резервирования данных и аварийного восстановления в случае нештатной ситуации или сбоя.
Для достижения поставленной цели в средство обнаружения вторжений уровня узла сети, выполненное в виде сервера администрирования, на котором установлен контролер целостности файлов и группа датчиков: анализа событий, анализа трафика, анализа взаимодействия с операционной системой, активности соединений, и содержащее блок сбора информации и принятия решений и блок памяти, при этом блок сбора информации и принятия решений соединен с группой датчиков и блоком памяти, причем блок памяти выполнен с возможностью хранения сведений об инцидентах безопасности, а также установленных правилах политики информационной безопасности, а блок сбора информации и принятия решений выполнен с возможностью сбора информации и сведений об узле сети с группы датчиков, а также с возможностью на основе сравнения этой информации с данными блока памяти разрешать или блокировать какие-либо действия на узле сети при обнаружении вторжений уровня узла сети, дополнительно включены блок резервирования и аварийного восстановления, блок управления резервным копированием и аварийным восстановлением и устройство ввода-вывода. При этом первый дополнительный информационный выход блока сбора информации и принятия решений подключен к первому дополнительному информационному входу блока памяти, второй дополнительный информационный выход блока сбора информации и принятия решений подключен к первому информационному входу устройства ввода-вывода, а управляющий выход - к управляющему входу блока управления резервным копированием и аварийным восстановлением, информационные входы и выходы блока резервирования и аварийного восстановления соединены соответственно со вторыми дополнительными информационными выходами и входами блока памяти, управляющий вход блока резервирования и аварийного восстановления подключен к управляющему выходу блока управления резервным копированием и аварийным восстановлением, информационный вход блока управления резервным копированием и аварийным восстановлением соединен с информационным выходом устройства ввода-вывода, а информационный выход - со вторым информационным входом устройства ввода-вывода.
Новые существенные признаки: наличие соответствующим образом соединенных блока резервирования и аварийного восстановления, блока управления резервным копированием и аварийным восстановлением, устройства ввода-вывода.
Предлагаемое устройство отличается от известных конструктивными изменениями, обеспечивающими повышение надежности и защищенности системы обнаружения вторжений уровня узла сети.
Анализ уровня техники не выявил средство того же назначения, что и полезная модель, которому присущи все приведенные в независимом пункте формулы полезной модели существенные признаки, что свидетельствует о соответствии предлагаемого технического решения критерию «новизна».
На фигуре показана структура системы обнаружения вторжений уровня узла сети:
1 - сервер администрирования, 2 - датчик анализа событий, 3 - датчик анализа трафика, 4 - датчик анализа взаимодействия с операционной системой, 5 - датчик активности соединений, 6 - контроллер целостности файлов, 7 - блок сбора информации и принятия решений, 8 - блок памяти, 9 - блок резервирования и аварийного восстановления, 10 - блок управления резервным копированием и аварийным восстановлением, 11 - устройство ввода-вывода.
Сервер 1 представляет собой компьютер или специализированное оборудование и служит для выполнения различных задач, например, подключение пользователя, хранение информации, а также данных о системных событиях, фиксируемых на узлах сети, которые подключены к серверу.
Датчик 2 анализа событий собирает информацию о происходящих событиях на различных узлах сети, которые хранятся в виде журнала событий. Журналы событий могут включать в себя тип, источник, время генерирования и код регистрируемого события, используемый протокол сетевого уровня, номер порта протокола сетевого уровня и др. На основании записей в журнале событий можно отследить активность авторизованных пользователей или же проследить перемещение какой-либо записи о событие. Датчик анализа событий соединен с блоком 7 сбора информации и принятия решений и передает в него всю накопившуюся информацию о событиях информационной безопасности. После передачи информации может осуществляться сброс данных для предотвращения переполнения.
Датчик 3 анализа трафика собирает информацию с узлов сети, на основе которой может быть определено нарушение признаков событий безопасности. Примерами такой информации может быть номер автономной системы источника и приемника, номер порта источника и приемника, адрес источника и получателя, количество пакетов в потоке, количество байтов в потоке, данные из протоколов и приложений и др. На основе данной информации могут быть обнаружены проблемы в работе сети, несанкционированный доступ злоумышленника, атаки на корпоративные ресурсы, увеличенная нагрузка на канал, неправильная настройка протокола, и др. Вся собранная информация передается в блок 7 сбора информации и принятия решений.
Датчик 4 анализа взаимодействия с операционной системой собирает информацию между приложениями и операционной системой для идентификации событий, связанных с безопасностью. Каждый вызов какого-либо приложения операционной системой характеризуется набором признаков, которые и анализируются блоком 7 сбора информации и принятия решений, соединенным с датчиком. Примером таких признаков может служить определенная последовательность действий: загрузка из интернета информации, создание множества файлов с загруженной информацией, загрузка этих файлов в информационную систему.
Датчик 5 активности соединений осуществляет мониторинг узлов сети и собирает информацию о количестве активных соединений и частоте обращений к ним. Собранная информация передается в блок 7 сбора информации и принятия решений, который непосредственно анализирует полученные сведения о соединениях.
Контроллер 6 целостности файлов отслеживает изменения в файлах посредством использования криптографической контрольной суммы или цифровой подписи файла и передает данные о них в блок 7 сбора информации и принятия решений. Контрольная сумма сохраняется в блоке 8 памяти, который соединен с блоком сбора информации и принятия решений.
Блок 7 сбора информации и принятия решений соединен с группой датчиков, блоком 8 памяти и устройством 11 ввода-вывода и осуществляет выполнение или блокировку действий на основании сравнения сведений об узле сети с группы датчиков и аналогичных сведений, хранящихся в блоке памяти. Кроме того, данный блок передает в блок памяти сведения об инцидентах безопасности и обновленные данные о политике информационной безопасности. Блок сбора информации и принятия решений через устройство ввода-вывода отображает все совершаемые действия для дальнейшей обработки и оповещения об обнаружении вторжения.
Блок 8 памяти предназначен для хранения сведений об инцидентах безопасности, а также установленных правил политики информационной безопасности. Начальные данные заносятся в блок при запуске системы; в дальнейшем они обновляются из блока 7 сбора информации и принятия решений. Помимо указанного блока блок памяти соединен с блоком 9 резервирования и аварийного восстановления для осуществления резервного копирования хранящихся данных, а также восстановления работоспособности системы обнаружения вторжений в случае сбоя.
Блок 9 резервирования и аварийного восстановления представлен в виде машиночитаемого носителя и предназначен для хранения резервной копии данных, получаемой из блока 8 памяти.
Блок 10 управления резервным копированием и аварийным восстановлением подключен к блоку 9 резервирования и аварийного восстановления и в случае возникновения отказа или сбоя в системе передает запрос на передачу данных из этого блока в блок 8 памяти для восстановления функционирования системы. Кроме того, он передает в устройство ввода-вывода 11 информацию о возможных сбоях в процессе резервирования и аварийного восстановления системы.
Устройство 11 ввода-вывода предназначено для отображения совершаемых действий, оповещения об обнаружении вторжений, ввода расписания резервного копирования, передаваемого в подключенный блок 10 управления резервным копированием и аварийным восстановлением.
Система обнаружения вторжений уровня узла сети работает следующим образом.
Собранная установленными на сервере 1 датчиком 2 анализа событий, датчиком 3 анализа трафика, датчиком 4 анализа взаимодействия с операционной системой, датчиком 5 активности соединений, контролером, целостности файлов информация поступает на обработку в блок 7 сбора информации и принятия решений. После передачи информации может осуществляться ее сброс с датчиков для предотвращения переполнения. Блок 7 сбора информации и принятия решения анализирует поступившую информацию с группы датчиков и принимает решение о блокировке или разрешения действий на основе сравнения с данными, хранящимися в блоке 8 памяти. Блок 8 памяти хранит сведения об инцидентах безопасности, а также установленные правила политики информационной безопасности. Для каждого узла сети могут быть установлены свои правила информационной безопасности. Уведомления об инцидентах безопасности осуществляются блоком сбора информации и принятия решения через устройство 11 ввода-вывода.
Для повышения надежности системы согласно расписанию, заданному в блоке 10 управления резервным копированием и аварийным восстановлением, блок 9 резервирования и аварийного восстановления запрашивает данные из блока 8 памяти для резервного копирования и хранит их до следующего обновления. В случае возникновения сбоя или отказа в результате, например, вредоносного внешнего воздействия, из блока 7 сбора информации и принятия решений поступает запрос в блок 10 управления резервным копированием и аварийным восстановлением на аварийное восстановление системы. Блок 10 передает запрос в блок 9 резервирования и аварийного восстановления, инициализируя восстановление функционирования средства обнаружения вторжений.
Отображение совершаемых действий, в том числе информации о возможных сбоях в ходе резервного копирования и аварийного восстановления, и оповещения об обнаружении вторжений осуществляется через устройство 11 ввода-вывода.
Преимуществом заявляемой системы является возможность восстановить ее работоспособность после неисправности или сбоя, обусловленного вредоносным воздействием злоумышленника.
Claims (1)
- Система обнаружения вторжений уровня узла сети, выполненная в виде сервера администрирования, на котором установлены контроллер целостности файлов и группа датчиков: датчик анализа событий, датчик анализа трафика, датчик анализа взаимодействия с операционной системой, датчик активности соединений, и содержащая блок сбора информации и принятия решений и блок памяти, при этом блок сбора информации и принятия решений соединен с группой датчиков и блоком памяти, причем блок памяти выполнен с возможностью хранения сведений об инцидентах безопасности, а также установленных правилах политики информационной безопасности, а блок сбора информации и принятия решений выполнен с возможностью сбора информации и сведений об узле сети с группы датчиков, а также с возможностью на основе сравнения этой информации с данными блока памяти разрешать или блокировать какие-либо действия на узле сети при обнаружении вторжений уровня узла сети, отличающаяся тем, что в систему дополнительно включены блок резервирования и аварийного восстановления, блок управления резервным копированием и аварийным восстановлением и устройство ввода-вывода, причем первый дополнительный информационный выход блока сбора информации и принятия решений подключен к первому дополнительному информационному входу блока памяти, второй дополнительный информационный выход блока сбора информации и принятия решений подключен к первому информационному входу устройства ввода-вывода, а управляющий выход - к управляющему входу блока управления резервным копированием и аварийным восстановлением, информационные входы и выходы блока резервирования и аварийного восстановления соединены соответственно со вторыми дополнительными информационными выходами и входами блока памяти, управляющий вход блока резервирования и аварийного восстановления подключен к управляющему выходу блока управления резервным копированием и аварийным восстановлением, информационный вход блока управления резервным копированием и аварийным восстановлением соединен с информационным выходом устройства ввода-вывода, а информационный выход - со вторым информационным входом устройства ввода-вывода.
Publications (1)
Publication Number | Publication Date |
---|---|
RU216567U1 true RU216567U1 (ru) | 2023-02-14 |
Family
ID=
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CA2887216A1 (en) * | 2007-10-24 | 2009-04-24 | Trend Micro Incorporated | Methods and systems for regulating host security configuration |
RU2481633C2 (ru) * | 2011-08-04 | 2013-05-10 | Закрытое акционерное общество "Лаборатория Касперского" | Система и способ автоматического расследования инцидентов безопасности |
US9661003B2 (en) * | 2012-05-11 | 2017-05-23 | Thomas W. Parker | System and method for forensic cyber adversary profiling, attribution and attack identification |
RU180789U1 (ru) * | 2017-10-31 | 2018-06-22 | Федеральное государственное бюджетное учреждение "4 Центральный научно-исследовательский институт" Министерства обороны Российской Федерации | Устройство аудита информационной безопасности в автоматизированных системах |
RU186198U1 (ru) * | 2018-03-07 | 2019-01-11 | Общество с ограниченной ответственностью "ЦИТ" | Средство обнаружения вторжений уровня узла сети |
RU193101U1 (ru) * | 2019-05-13 | 2019-10-14 | федеральное государственное казенное военное образовательное учреждение высшего образования "Краснодарское высшее военное училище имени генерала армии С.М. Штеменко" Министерства обороны Российской Федерации | Система аналитической обработки событий информационной безопасности |
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CA2887216A1 (en) * | 2007-10-24 | 2009-04-24 | Trend Micro Incorporated | Methods and systems for regulating host security configuration |
RU2481633C2 (ru) * | 2011-08-04 | 2013-05-10 | Закрытое акционерное общество "Лаборатория Касперского" | Система и способ автоматического расследования инцидентов безопасности |
US9661003B2 (en) * | 2012-05-11 | 2017-05-23 | Thomas W. Parker | System and method for forensic cyber adversary profiling, attribution and attack identification |
RU180789U1 (ru) * | 2017-10-31 | 2018-06-22 | Федеральное государственное бюджетное учреждение "4 Центральный научно-исследовательский институт" Министерства обороны Российской Федерации | Устройство аудита информационной безопасности в автоматизированных системах |
RU186198U1 (ru) * | 2018-03-07 | 2019-01-11 | Общество с ограниченной ответственностью "ЦИТ" | Средство обнаружения вторжений уровня узла сети |
RU193101U1 (ru) * | 2019-05-13 | 2019-10-14 | федеральное государственное казенное военное образовательное учреждение высшего образования "Краснодарское высшее военное училище имени генерала армии С.М. Штеменко" Министерства обороны Российской Федерации | Система аналитической обработки событий информационной безопасности |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US7076801B2 (en) | Intrusion tolerant server system | |
EP2106085B1 (en) | System and method for securing a network from zero-day vulnerability exploits | |
CN101147143B (zh) | 向计算机系统和网络提供安全性的方法和装置 | |
JP3448254B2 (ja) | アクセス・チェーン追跡システム、ネットワーク・システム、方法、及び記録媒体 | |
Kannadiga et al. | DIDMA: A distributed intrusion detection system using mobile agents | |
US8271838B2 (en) | System and method for detecting security intrusions and soft faults using performance signatures | |
JP2008537267A (ja) | ハニーポットを用いて攻撃を検出し抑止するためのシステム及び方法 | |
CN113839935B (zh) | 网络态势感知方法、装置及系统 | |
US20230007032A1 (en) | Blockchain-based host security monitoring method and apparatus, medium and electronic device | |
CN114006723B (zh) | 基于威胁情报的网络安全预测方法、装置及系统 | |
Uemura et al. | Availability analysis of an intrusion tolerant distributed server system with preventive maintenance | |
CN113660115B (zh) | 基于告警的网络安全数据处理方法、装置及系统 | |
WO2018146757A1 (ja) | 情報処理装置、情報処理方法及び情報処理プログラム | |
KR100332891B1 (ko) | 분산 침입 탐지 에이전트를 기반으로 한 지능형 침입탐지시스템 | |
Rapaka et al. | Intrusion detection using radial basis function network on sequences of system calls | |
RU216567U1 (ru) | Система обнаружения вторжений уровня узла сети | |
JP6616045B2 (ja) | 異種混在アラートのグラフベース結合 | |
KR101580624B1 (ko) | 벌점기반의 알려지지 않은 악성코드 탐지 및 대응 방법 | |
RU186198U1 (ru) | Средство обнаружения вторжений уровня узла сети | |
CN116032527A (zh) | 一种基于云计算的数据安全漏洞感知系统及方法 | |
JP2023050189A (ja) | 脅威制御方法およびシステム | |
Jakhale | Design of anomaly packet detection framework by data mining algorithm for network flow | |
JP2019022099A (ja) | セキュリティポリシー情報管理システム、セキュリティポリシー情報管理方法、及びプログラム | |
CN114172881A (zh) | 基于预测的网络安全验证方法、装置及系统 | |
JP2006050442A (ja) | トラヒック監視方法及びシステム |