RU216567U1 - Система обнаружения вторжений уровня узла сети - Google Patents

Система обнаружения вторжений уровня узла сети Download PDF

Info

Publication number
RU216567U1
RU216567U1 RU2022117949U RU2022117949U RU216567U1 RU 216567 U1 RU216567 U1 RU 216567U1 RU 2022117949 U RU2022117949 U RU 2022117949U RU 2022117949 U RU2022117949 U RU 2022117949U RU 216567 U1 RU216567 U1 RU 216567U1
Authority
RU
Russia
Prior art keywords
information
backup
input
block
unit
Prior art date
Application number
RU2022117949U
Other languages
English (en)
Inventor
Александр Васильевич Зубарев
Макар Андреевич Обрезанов
Дмитрий Алексеевич Терещенко
Original Assignee
федеральное государственное казенное военное образовательное учреждение высшего образования "Краснодарское высшее военное орденов Жукова и Октябрьской Революции Краснознаменное училище имени генерала армии С.М. Штеменко" Министерства обороны Российской Федерации
Filing date
Publication date
Application filed by федеральное государственное казенное военное образовательное учреждение высшего образования "Краснодарское высшее военное орденов Жукова и Октябрьской Революции Краснознаменное училище имени генерала армии С.М. Штеменко" Министерства обороны Российской Федерации filed Critical федеральное государственное казенное военное образовательное учреждение высшего образования "Краснодарское высшее военное орденов Жукова и Октябрьской Революции Краснознаменное училище имени генерала армии С.М. Штеменко" Министерства обороны Российской Федерации
Application granted granted Critical
Publication of RU216567U1 publication Critical patent/RU216567U1/ru

Links

Images

Abstract

Полезная модель относится к области информационной безопасности, в частности к системам обнаружения вторжений, и предназначена для обнаружения вредоносных воздействий на узел сети. Технический результат заключается в повышении надежности и защищенности системы обнаружения воздействий уровня узла сети за счет обеспечения резервирования данных и аварийного восстановления в случае нештатной ситуации или сбоя. Предложенная система состоит из размещенных на сервере администрирования датчика анализа событий, датчика анализа трафика, датчика анализа взаимодействия с операционной системой, датчика активности соединений, контроллера целостности файлов, блока сбора информации и принятия решений, блока памяти, блока резервирования и аварийного восстановления, блока управления резервным копированием и аварийным восстановлением, устройства ввода-вывода. 1 ил.

Description

Полезная модель относится к области информационной безопасности, в частности к системам обнаружения вторжений.
Известна система регулирования конфигурации безопасности хоста (патент Канады СА 2607649 С, опубл. 02.06.2015), содержащая сервер-компьютер, который взаимодействует с множеством хостов, запоминающее устройство с машиночитаемыми инструкциями и процессор для их выполнения. Машиночитаемые инструкции включают в себя, в числе прочих, определение текущей конфигурации защиты целевого хоста; обнаружение несоответствий между указанной текущей и предыдущей конфигурациями хоста; установку текущей конфигурации защиты в целевом хосте при обнаружении несоответствия и др.
К недостаткам данной системы относится сложность работы с ней, низкий уровень создаваемых событий, что усложняет задачу определения инцидента информационной безопасности, а также чувствительность к аппаратным сбоям и отказам.
Наиболее близким техническим решением к заявляемой полезной модели является средство обнаружения вторжений уровня узла сети (патент на полезную модель №186198, опубл. 11.01.2019, Бюл. №2).
Средство выполнено в виде сервера администрирования, на котором установлены контролер целостности файлов и группа датчиков: анализа событий, анализа трафика, анализа взаимодействия с операционной системой, активности соединений. Средство также содержит соответствующим образом соединенные блок сбора информации и принятия решений и блок памяти, причем блок памяти выполнен с возможностью хранения сведений об инцидентах безопасности, а также установленных правилах политики информационной безопасности, а блок сбора информации и принятия решений выполнен с возможностью сбора информации и сведений об узле сети с группы датчиков, а также с возможностью на основе сравнения этой информации с данными блока памяти разрешать или блокировать какие-либо действия на узле сети при обнаружении вторжений уровня узла сети.
Недостатком устройства является невысокая надежность и незащищенность от компьютерных атак, направленных на подавление самого средства обнаружения вторжений.
Целью полезной модели является повышение надежности и защищенности системы обнаружения воздействий уровня узла сети за счет обеспечения резервирования данных и аварийного восстановления в случае нештатной ситуации или сбоя.
Для достижения поставленной цели в средство обнаружения вторжений уровня узла сети, выполненное в виде сервера администрирования, на котором установлен контролер целостности файлов и группа датчиков: анализа событий, анализа трафика, анализа взаимодействия с операционной системой, активности соединений, и содержащее блок сбора информации и принятия решений и блок памяти, при этом блок сбора информации и принятия решений соединен с группой датчиков и блоком памяти, причем блок памяти выполнен с возможностью хранения сведений об инцидентах безопасности, а также установленных правилах политики информационной безопасности, а блок сбора информации и принятия решений выполнен с возможностью сбора информации и сведений об узле сети с группы датчиков, а также с возможностью на основе сравнения этой информации с данными блока памяти разрешать или блокировать какие-либо действия на узле сети при обнаружении вторжений уровня узла сети, дополнительно включены блок резервирования и аварийного восстановления, блок управления резервным копированием и аварийным восстановлением и устройство ввода-вывода. При этом первый дополнительный информационный выход блока сбора информации и принятия решений подключен к первому дополнительному информационному входу блока памяти, второй дополнительный информационный выход блока сбора информации и принятия решений подключен к первому информационному входу устройства ввода-вывода, а управляющий выход - к управляющему входу блока управления резервным копированием и аварийным восстановлением, информационные входы и выходы блока резервирования и аварийного восстановления соединены соответственно со вторыми дополнительными информационными выходами и входами блока памяти, управляющий вход блока резервирования и аварийного восстановления подключен к управляющему выходу блока управления резервным копированием и аварийным восстановлением, информационный вход блока управления резервным копированием и аварийным восстановлением соединен с информационным выходом устройства ввода-вывода, а информационный выход - со вторым информационным входом устройства ввода-вывода.
Новые существенные признаки: наличие соответствующим образом соединенных блока резервирования и аварийного восстановления, блока управления резервным копированием и аварийным восстановлением, устройства ввода-вывода.
Предлагаемое устройство отличается от известных конструктивными изменениями, обеспечивающими повышение надежности и защищенности системы обнаружения вторжений уровня узла сети.
Анализ уровня техники не выявил средство того же назначения, что и полезная модель, которому присущи все приведенные в независимом пункте формулы полезной модели существенные признаки, что свидетельствует о соответствии предлагаемого технического решения критерию «новизна».
На фигуре показана структура системы обнаружения вторжений уровня узла сети:
1 - сервер администрирования, 2 - датчик анализа событий, 3 - датчик анализа трафика, 4 - датчик анализа взаимодействия с операционной системой, 5 - датчик активности соединений, 6 - контроллер целостности файлов, 7 - блок сбора информации и принятия решений, 8 - блок памяти, 9 - блок резервирования и аварийного восстановления, 10 - блок управления резервным копированием и аварийным восстановлением, 11 - устройство ввода-вывода.
Сервер 1 представляет собой компьютер или специализированное оборудование и служит для выполнения различных задач, например, подключение пользователя, хранение информации, а также данных о системных событиях, фиксируемых на узлах сети, которые подключены к серверу.
Датчик 2 анализа событий собирает информацию о происходящих событиях на различных узлах сети, которые хранятся в виде журнала событий. Журналы событий могут включать в себя тип, источник, время генерирования и код регистрируемого события, используемый протокол сетевого уровня, номер порта протокола сетевого уровня и др. На основании записей в журнале событий можно отследить активность авторизованных пользователей или же проследить перемещение какой-либо записи о событие. Датчик анализа событий соединен с блоком 7 сбора информации и принятия решений и передает в него всю накопившуюся информацию о событиях информационной безопасности. После передачи информации может осуществляться сброс данных для предотвращения переполнения.
Датчик 3 анализа трафика собирает информацию с узлов сети, на основе которой может быть определено нарушение признаков событий безопасности. Примерами такой информации может быть номер автономной системы источника и приемника, номер порта источника и приемника, адрес источника и получателя, количество пакетов в потоке, количество байтов в потоке, данные из протоколов и приложений и др. На основе данной информации могут быть обнаружены проблемы в работе сети, несанкционированный доступ злоумышленника, атаки на корпоративные ресурсы, увеличенная нагрузка на канал, неправильная настройка протокола, и др. Вся собранная информация передается в блок 7 сбора информации и принятия решений.
Датчик 4 анализа взаимодействия с операционной системой собирает информацию между приложениями и операционной системой для идентификации событий, связанных с безопасностью. Каждый вызов какого-либо приложения операционной системой характеризуется набором признаков, которые и анализируются блоком 7 сбора информации и принятия решений, соединенным с датчиком. Примером таких признаков может служить определенная последовательность действий: загрузка из интернета информации, создание множества файлов с загруженной информацией, загрузка этих файлов в информационную систему.
Датчик 5 активности соединений осуществляет мониторинг узлов сети и собирает информацию о количестве активных соединений и частоте обращений к ним. Собранная информация передается в блок 7 сбора информации и принятия решений, который непосредственно анализирует полученные сведения о соединениях.
Контроллер 6 целостности файлов отслеживает изменения в файлах посредством использования криптографической контрольной суммы или цифровой подписи файла и передает данные о них в блок 7 сбора информации и принятия решений. Контрольная сумма сохраняется в блоке 8 памяти, который соединен с блоком сбора информации и принятия решений.
Блок 7 сбора информации и принятия решений соединен с группой датчиков, блоком 8 памяти и устройством 11 ввода-вывода и осуществляет выполнение или блокировку действий на основании сравнения сведений об узле сети с группы датчиков и аналогичных сведений, хранящихся в блоке памяти. Кроме того, данный блок передает в блок памяти сведения об инцидентах безопасности и обновленные данные о политике информационной безопасности. Блок сбора информации и принятия решений через устройство ввода-вывода отображает все совершаемые действия для дальнейшей обработки и оповещения об обнаружении вторжения.
Блок 8 памяти предназначен для хранения сведений об инцидентах безопасности, а также установленных правил политики информационной безопасности. Начальные данные заносятся в блок при запуске системы; в дальнейшем они обновляются из блока 7 сбора информации и принятия решений. Помимо указанного блока блок памяти соединен с блоком 9 резервирования и аварийного восстановления для осуществления резервного копирования хранящихся данных, а также восстановления работоспособности системы обнаружения вторжений в случае сбоя.
Блок 9 резервирования и аварийного восстановления представлен в виде машиночитаемого носителя и предназначен для хранения резервной копии данных, получаемой из блока 8 памяти.
Блок 10 управления резервным копированием и аварийным восстановлением подключен к блоку 9 резервирования и аварийного восстановления и в случае возникновения отказа или сбоя в системе передает запрос на передачу данных из этого блока в блок 8 памяти для восстановления функционирования системы. Кроме того, он передает в устройство ввода-вывода 11 информацию о возможных сбоях в процессе резервирования и аварийного восстановления системы.
Устройство 11 ввода-вывода предназначено для отображения совершаемых действий, оповещения об обнаружении вторжений, ввода расписания резервного копирования, передаваемого в подключенный блок 10 управления резервным копированием и аварийным восстановлением.
Система обнаружения вторжений уровня узла сети работает следующим образом.
Собранная установленными на сервере 1 датчиком 2 анализа событий, датчиком 3 анализа трафика, датчиком 4 анализа взаимодействия с операционной системой, датчиком 5 активности соединений, контролером, целостности файлов информация поступает на обработку в блок 7 сбора информации и принятия решений. После передачи информации может осуществляться ее сброс с датчиков для предотвращения переполнения. Блок 7 сбора информации и принятия решения анализирует поступившую информацию с группы датчиков и принимает решение о блокировке или разрешения действий на основе сравнения с данными, хранящимися в блоке 8 памяти. Блок 8 памяти хранит сведения об инцидентах безопасности, а также установленные правила политики информационной безопасности. Для каждого узла сети могут быть установлены свои правила информационной безопасности. Уведомления об инцидентах безопасности осуществляются блоком сбора информации и принятия решения через устройство 11 ввода-вывода.
Для повышения надежности системы согласно расписанию, заданному в блоке 10 управления резервным копированием и аварийным восстановлением, блок 9 резервирования и аварийного восстановления запрашивает данные из блока 8 памяти для резервного копирования и хранит их до следующего обновления. В случае возникновения сбоя или отказа в результате, например, вредоносного внешнего воздействия, из блока 7 сбора информации и принятия решений поступает запрос в блок 10 управления резервным копированием и аварийным восстановлением на аварийное восстановление системы. Блок 10 передает запрос в блок 9 резервирования и аварийного восстановления, инициализируя восстановление функционирования средства обнаружения вторжений.
Отображение совершаемых действий, в том числе информации о возможных сбоях в ходе резервного копирования и аварийного восстановления, и оповещения об обнаружении вторжений осуществляется через устройство 11 ввода-вывода.
Преимуществом заявляемой системы является возможность восстановить ее работоспособность после неисправности или сбоя, обусловленного вредоносным воздействием злоумышленника.

Claims (1)

  1. Система обнаружения вторжений уровня узла сети, выполненная в виде сервера администрирования, на котором установлены контроллер целостности файлов и группа датчиков: датчик анализа событий, датчик анализа трафика, датчик анализа взаимодействия с операционной системой, датчик активности соединений, и содержащая блок сбора информации и принятия решений и блок памяти, при этом блок сбора информации и принятия решений соединен с группой датчиков и блоком памяти, причем блок памяти выполнен с возможностью хранения сведений об инцидентах безопасности, а также установленных правилах политики информационной безопасности, а блок сбора информации и принятия решений выполнен с возможностью сбора информации и сведений об узле сети с группы датчиков, а также с возможностью на основе сравнения этой информации с данными блока памяти разрешать или блокировать какие-либо действия на узле сети при обнаружении вторжений уровня узла сети, отличающаяся тем, что в систему дополнительно включены блок резервирования и аварийного восстановления, блок управления резервным копированием и аварийным восстановлением и устройство ввода-вывода, причем первый дополнительный информационный выход блока сбора информации и принятия решений подключен к первому дополнительному информационному входу блока памяти, второй дополнительный информационный выход блока сбора информации и принятия решений подключен к первому информационному входу устройства ввода-вывода, а управляющий выход - к управляющему входу блока управления резервным копированием и аварийным восстановлением, информационные входы и выходы блока резервирования и аварийного восстановления соединены соответственно со вторыми дополнительными информационными выходами и входами блока памяти, управляющий вход блока резервирования и аварийного восстановления подключен к управляющему выходу блока управления резервным копированием и аварийным восстановлением, информационный вход блока управления резервным копированием и аварийным восстановлением соединен с информационным выходом устройства ввода-вывода, а информационный выход - со вторым информационным входом устройства ввода-вывода.
RU2022117949U 2022-06-29 Система обнаружения вторжений уровня узла сети RU216567U1 (ru)

Publications (1)

Publication Number Publication Date
RU216567U1 true RU216567U1 (ru) 2023-02-14

Family

ID=

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CA2887216A1 (en) * 2007-10-24 2009-04-24 Trend Micro Incorporated Methods and systems for regulating host security configuration
RU2481633C2 (ru) * 2011-08-04 2013-05-10 Закрытое акционерное общество "Лаборатория Касперского" Система и способ автоматического расследования инцидентов безопасности
US9661003B2 (en) * 2012-05-11 2017-05-23 Thomas W. Parker System and method for forensic cyber adversary profiling, attribution and attack identification
RU180789U1 (ru) * 2017-10-31 2018-06-22 Федеральное государственное бюджетное учреждение "4 Центральный научно-исследовательский институт" Министерства обороны Российской Федерации Устройство аудита информационной безопасности в автоматизированных системах
RU186198U1 (ru) * 2018-03-07 2019-01-11 Общество с ограниченной ответственностью "ЦИТ" Средство обнаружения вторжений уровня узла сети
RU193101U1 (ru) * 2019-05-13 2019-10-14 федеральное государственное казенное военное образовательное учреждение высшего образования "Краснодарское высшее военное училище имени генерала армии С.М. Штеменко" Министерства обороны Российской Федерации Система аналитической обработки событий информационной безопасности

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CA2887216A1 (en) * 2007-10-24 2009-04-24 Trend Micro Incorporated Methods and systems for regulating host security configuration
RU2481633C2 (ru) * 2011-08-04 2013-05-10 Закрытое акционерное общество "Лаборатория Касперского" Система и способ автоматического расследования инцидентов безопасности
US9661003B2 (en) * 2012-05-11 2017-05-23 Thomas W. Parker System and method for forensic cyber adversary profiling, attribution and attack identification
RU180789U1 (ru) * 2017-10-31 2018-06-22 Федеральное государственное бюджетное учреждение "4 Центральный научно-исследовательский институт" Министерства обороны Российской Федерации Устройство аудита информационной безопасности в автоматизированных системах
RU186198U1 (ru) * 2018-03-07 2019-01-11 Общество с ограниченной ответственностью "ЦИТ" Средство обнаружения вторжений уровня узла сети
RU193101U1 (ru) * 2019-05-13 2019-10-14 федеральное государственное казенное военное образовательное учреждение высшего образования "Краснодарское высшее военное училище имени генерала армии С.М. Штеменко" Министерства обороны Российской Федерации Система аналитической обработки событий информационной безопасности

Similar Documents

Publication Publication Date Title
US7076801B2 (en) Intrusion tolerant server system
EP2106085B1 (en) System and method for securing a network from zero-day vulnerability exploits
CN101147143B (zh) 向计算机系统和网络提供安全性的方法和装置
JP3448254B2 (ja) アクセス・チェーン追跡システム、ネットワーク・システム、方法、及び記録媒体
Kannadiga et al. DIDMA: A distributed intrusion detection system using mobile agents
US8271838B2 (en) System and method for detecting security intrusions and soft faults using performance signatures
JP2008537267A (ja) ハニーポットを用いて攻撃を検出し抑止するためのシステム及び方法
CN113839935B (zh) 网络态势感知方法、装置及系统
US20230007032A1 (en) Blockchain-based host security monitoring method and apparatus, medium and electronic device
CN114006723B (zh) 基于威胁情报的网络安全预测方法、装置及系统
Uemura et al. Availability analysis of an intrusion tolerant distributed server system with preventive maintenance
CN113660115B (zh) 基于告警的网络安全数据处理方法、装置及系统
WO2018146757A1 (ja) 情報処理装置、情報処理方法及び情報処理プログラム
KR100332891B1 (ko) 분산 침입 탐지 에이전트를 기반으로 한 지능형 침입탐지시스템
Rapaka et al. Intrusion detection using radial basis function network on sequences of system calls
RU216567U1 (ru) Система обнаружения вторжений уровня узла сети
JP6616045B2 (ja) 異種混在アラートのグラフベース結合
KR101580624B1 (ko) 벌점기반의 알려지지 않은 악성코드 탐지 및 대응 방법
RU186198U1 (ru) Средство обнаружения вторжений уровня узла сети
CN116032527A (zh) 一种基于云计算的数据安全漏洞感知系统及方法
JP2023050189A (ja) 脅威制御方法およびシステム
Jakhale Design of anomaly packet detection framework by data mining algorithm for network flow
JP2019022099A (ja) セキュリティポリシー情報管理システム、セキュリティポリシー情報管理方法、及びプログラム
CN114172881A (zh) 基于预测的网络安全验证方法、装置及系统
JP2006050442A (ja) トラヒック監視方法及びシステム