RU2179738C2 - Method for detecting remote attacks in computer network - Google Patents

Method for detecting remote attacks in computer network Download PDF

Info

Publication number
RU2179738C2
RU2179738C2 RU2000111077/09A RU2000111077A RU2179738C2 RU 2179738 C2 RU2179738 C2 RU 2179738C2 RU 2000111077/09 A RU2000111077/09 A RU 2000111077/09A RU 2000111077 A RU2000111077 A RU 2000111077A RU 2179738 C2 RU2179738 C2 RU 2179738C2
Authority
RU
Russia
Prior art keywords
subscriber
packets
series
arriving
size
Prior art date
Application number
RU2000111077/09A
Other languages
Russian (ru)
Other versions
RU2000111077A (en
Inventor
Н.О. Вильчевский
В.С. Заборовский
В.Е. Клавдиев
В.А. Лопота
А.В. Маленкова
Original Assignee
Вильчевский Никита Олегович
Заборовский Владимир Сергеевич
Клавдиев Владимир Евгеньевич
Лопота Виталий Александрович
Маленкова Александра Валентиновна
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Вильчевский Никита Олегович, Заборовский Владимир Сергеевич, Клавдиев Владимир Евгеньевич, Лопота Виталий Александрович, Маленкова Александра Валентиновна filed Critical Вильчевский Никита Олегович
Priority to RU2000111077/09A priority Critical patent/RU2179738C2/en
Application granted granted Critical
Publication of RU2179738C2 publication Critical patent/RU2179738C2/en
Publication of RU2000111077A publication Critical patent/RU2000111077A/en

Links

Images

Landscapes

  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

FIELD: computer engineering. SUBSTANCE: method used for networks where communications among subscribers are effected by transmitting data bursts in compliance with TCP protocol includes watching traffic of data bursts arriving at subscriber, checking these data bursts according to specified rules, and sending signal to take measures for protection against unauthorized access when check reveals adherence to mentioned rules. In order to detect attempts of unauthorized access made on behalf of fraudulently assigned name of other subscriber of network traffic of data bursts addressed to subscriber is watched including permanently resumed counting of burst number executed within series of bursts arriving one after other in time intervals exceeding those specified; arriving data bursts are checked for compliance with specified rules each time when size of arriving series under check rises to critical number of bursts. EFFECT: facilitated procedure. 4 cl, 4 dwg

Description

Изобретение относится к области защиты от несанкционированного доступа к ресурсам компьютерной системы, а именно к способам и устройствам, обеспечивающим обнаружение удаленных атак на абонентов компьютерных сетей, осуществляемых средствами сетевого соединения, в частности, в глобальных компьютерных сетях, и защиту от подобного рода действий. The invention relates to the field of protection against unauthorized access to the resources of a computer system, and in particular to methods and devices for detecting remote attacks on subscribers of computer networks carried out by means of network connections, in particular, in global computer networks, and protection against such actions.

Настоящее описание предполагает общее знакомство с понятиями, протоколами и устройствами, используемыми в прикладных программах работы с компьютерными сетями. The present description assumes a general familiarity with the concepts, protocols, and devices used in computer networking applications.

Известно значительное количество способов и устройств по защите информации в вычислительных системах различного назначения, основанных на ограничении доступа к информации различного уровня конфиденциальности: использование паролей при входе в систему, блокировки отдельных областей памяти, применение средств криптографической защиты, подавления побочного электромагнитного излучения вычислительных устройств и каналов передачи информации. There are a significant number of methods and devices for protecting information in computing systems for various purposes, based on restricting access to information of various levels of confidentiality: using passwords when entering the system, blocking certain memory areas, using cryptographic protection tools, suppressing spurious electromagnetic radiation from computing devices and channels information transfer.

Известны атаки, основанные на подборе пароля, описание способов обнаружения таких атак и путей защиты от них приведено в книге [5. Дэвид Стенг, Сильвия Мун, "Секреты безопасности сетей", Киев, "Диалектика", 1996]. Known attacks based on password selection, a description of how to detect such attacks and ways to protect against them is given in the book [5. David Steng, Sylvia Moon, "Secrets of Network Security", Kiev, "Dialectics", 1996].

Сетевые системы характерны тем, что, наряду с обычными, локальными атаками, осуществляемыми в пределах одной компьютерной системы, к ним применим специфический вид атак, обусловленный распределенностью ресурсов и информации в пространстве. Это так называемые сетевые, или удаленные, атаки. Под удаленной атакой на компьютерную систему здесь подразумевается информационное разрушающее воздействие на распределенную вычислительную систему (РВС), программно осуществляемое по каналам связи одним или группой людей, имеющих злой умысел. При этом часто бывает невозможно различить преднамеренные и случайные действия, и хорошая система защиты должна адекватно реагировать на любые из них. Network systems are characterized by the fact that, along with conventional, local attacks carried out within the same computer system, a specific type of attack is applicable to them, due to the distribution of resources and information in space. These are the so-called network or remote attacks. By remote attack on a computer system here is meant the information destructive effect on a distributed computing system (RVS), programmatically carried out through communication channels by one or a group of people who have malicious intent. However, it is often impossible to distinguish between deliberate and random actions, and a good defense system must adequately respond to any of them.

Недостаточная защищенность наиболее распространенных операционных систем РВС и протоколов связи дает возможности осуществления различных видов удаленных атак на РВС, различающихся механизмами реализации, характерами и целями воздействия. Предварительным этапом удаленных атак обычно служит анализ сетевого трафика, то есть потока информационного обмена, который позволяет изучить логику работы распределенной вычислительной системы. Получение информации об РВС достигается злоумышленником путем перехвата и анализа передаваемых данных. Возможность перехвата данных существует вследствие того, что компоненты любой сетевой системы распределены в пространстве и связь между ними физически осуществляется при помощи сетевых соединений, для которых используются коаксиальный кабель, витая пара, оптоволокно и т.п. Insufficient security of the most common RVS operating systems and communication protocols makes it possible to carry out various types of remote attacks on RVS, which differ in implementation mechanisms, nature and purpose of the impact. The preliminary stage of remote attacks is usually the analysis of network traffic, that is, the flow of information exchange, which allows you to study the logic of the distributed computing system. Obtaining information about the RVS is achieved by an attacker by intercepting and analyzing the transmitted data. The possibility of interception of data exists due to the fact that the components of any network system are distributed in space and communication between them is physically carried out using network connections for which a coaxial cable, twisted pair cable, optical fiber, etc. are used.

Удаленные атаки осуществляются программно, при помощи механизмов сообщений. Известные разновидности удаленных атак и способы защиты от них описаны, например, в книге: И. Медведовский, П. Семьянов, В. Платонов "Атака через Internet", Санкт-Петербург, НПО "Мир и семья - 95", 1997. Remote attacks are carried out programmatically using message mechanisms. Known varieties of remote attacks and methods of protection against them are described, for example, in the book: I. Medvedovsky, P. Semenov, V. Platonov "Attack through the Internet", St. Petersburg, NGO "Peace and Family - 95", 1997.

Удаленная атака, вызывающая отказ в обслуживании, позволяет нарушить на атакованном объекте работоспособность соответствующей службы предоставления удаленного доступа либо телекоммуникационной службы, т.е. сделать невозможным получение удаленного доступа с других объектов. Отказ в обслуживании достигается путем передачи атакуемому абоненту возможно большего числа запросов на подключение от имени других абонентов, либо путем передачи с одного адреса такого количества запросов, какое позволит трафик. A remote attack causing a denial of service allows disrupting the operability of the corresponding remote access service or telecommunication service at the attacked site, i.e. make it impossible to obtain remote access from other objects. Denial of service is achieved by transmitting to the attacked subscriber the largest possible number of connection requests on behalf of other subscribers, or by transmitting from one address as many requests as traffic allows.

Опасной разновидностью удаленных атак является подмена абонента компьютерной сети, которая строится на передаче сообщений от обманно присвоенного имени произвольного абонента этой сети. Подмена абонента компьютерной сети может обеспечить несанкционированный доступ к ресурсам атакуемого абонента, если подменяемый абонент является для атакуемого доверенным объектом взаимодействия. Атака путем подмены абонента компьютерной сети может осуществляться как во время сеанса сетевого соединения между атакуемым и подменяемым абонентом, так и с помощью посылки запроса атакуемому абоненту на установление соединения от имени подменяемого абонента. Особенность такой атаки состоит в том, что атакующий имеет с атакуемым лишь одностороннюю связь, так как ответы атакуемого адресованы подменяемому абоненту. Поскольку вмешательство подменяемого абонента может помешать достижению целей атаки, подмену абонента компьютерной сети обычно сочетают с одновременным проведением атаки, вызывающей отказ в обслуживании подменяемого абонента. A dangerous variety of remote attacks is the substitution of a computer network subscriber, which is based on the transmission of messages from a fraudulently assigned name of an arbitrary subscriber to this network. Substitution of a computer network subscriber can provide unauthorized access to the resources of the attacked subscriber if the replaced subscriber is a trusted interaction object for the attacked. An attack by substituting a computer network subscriber can be carried out both during a network connection session between the attacked and the replaced subscriber, and by sending a request to the attacked subscriber to establish a connection on behalf of the replaced subscriber. The peculiarity of such an attack is that the attacker has only one-way communication with the attacked, since the answers of the attacked are addressed to the fake subscriber. Since the intervention of the substitute subscriber can interfere with the achievement of the objectives of the attack, substitution of the subscriber of the computer network is usually combined with the simultaneous conduct of an attack causing a denial of service of the substitute subscriber.

Настоящее изобретение предлагает способ для обнаружения удаленных атак, основанных на подмене абонента компьютерной сети. The present invention provides a method for detecting remote attacks based on the substitution of a computer network subscriber.

Наиболее близким к предложенному изобретению является описанное в патенте US 5796942, касающееся системы сетевого наблюдения. Closest to the proposed invention is described in patent US 5796942 regarding network surveillance systems.

Эта система, предназначенная для наблюдения за компьютерной сетью независимо от сетевого сервера, содержит:
сетевой драйвер для сбора данных в сети, которые не обязательно адресованы системе сетевого наблюдения;
управляющий процесс для получения данных от сетевого драйвера и хранения указанных данных в реальном времени;
множество файлов записи для получения и хранения данных до последующей обработки;
процесс сканирования, для которого один из указанного множества файлов записи назначается в качестве получающего файла для чтении данных других файлов из множества файлов записи и для использования указанных данных, чтобы воссоздать множество потоков данных в сеансах сетевых соединений, причем указанные потоки данных в сетевых соединениях обеспечивают последовательную реконструкцию сетевого трафика данных в сеансе сетевого соединения;
сканер сеанса для чтения данных в интервале одного из указанного множества сеансов сетевых соединений;
набор правил выявления стереотипов данных, которые, будучи обнаружены, вызовут включение сигнала тревоги;
средства для определенных ответных действий в случае выявления данных, соответствующих заданным правилам.This system, designed to monitor a computer network independently of a network server, contains:
a network driver for collecting data on a network that is not necessarily addressed to a network surveillance system;
a control process for receiving data from a network driver and storing said data in real time;
many recording files for receiving and storing data before further processing;
a scanning process for which one of said plurality of recording files is designated as a receiving file for reading data of other files from the plurality of recording files and for using said data to recreate a plurality of data streams in network connection sessions, said data streams in network connections providing sequential reconstruction of network data traffic in a network connection session;
a session scanner for reading data in the interval of one of the specified set of network connection sessions;
a set of rules for identifying data stereotypes that, when detected, will trigger an alarm;
means for a specific response in the event of the identification of data that meets the given rules.

Система для наблюдения за компьютерной сетью, характеризуемая приведенной выше формулой изобретения по патенту US 5796942, ориентирована на тотальный контроль сетевого трафика данных в локальных вычислительных сетях, в первую очередь - для наблюдения за поведением легальных пользователей этих сетей и выявления попыток несанкционированного доступа к ресурсам РВС с их стороны. Такая система, требует для своей реализации высокопроизводительного вычислительного комплекса с несколькими процессорами, работающими на частотах 233 - 500 МГц. В целях обнаружения попыток несанкционированного доступа к ресурсам абонентов компьютерной сети система обеспечивает реконструкцию потоков данных, передаваемых в сеансах сетевых соединений, и последовательное чтение данных, передаваемых в различных сеансах, причем проверке в соответствии с набором правил, выполняемой для выявления попыток несанкционированного доступа к ресурсам абонентов, подвергаются непосредственно сами передаваемые данные. Хотя данная система обеспечивает сбор данных в реальном времени, однако затем, при последовательном анализе множества сеансов сетевых соединений обнаружение несанкционированных действий в контролируемой компьютерной сети происходит с неминуемым опозданием по отношению к началу таких действий. Во многих случаях, опоздание с принятием мер по пресечению несанкционированных действий может приводить к непоправимому ущербу и делать защиту малоэффективной. The system for monitoring a computer network, characterized by the above patent claims US Pat. their side. Such a system requires a high-performance computing complex with several processors operating at frequencies of 233 - 500 MHz for its implementation. In order to detect attempts of unauthorized access to the resources of subscribers of a computer network, the system provides reconstruction of data streams transmitted in sessions of network connections, and sequential reading of data transmitted in various sessions, and checks in accordance with a set of rules performed to detect attempts of unauthorized access to resources of subscribers directly transmitted data itself. Although this system provides real-time data collection, however, when sequentially analyzing multiple network connection sessions, the detection of unauthorized actions in a controlled computer network is inevitable late with respect to the beginning of such actions. In many cases, being late in taking measures to prevent unauthorized actions can lead to irreparable damage and render protection ineffective.

В основу настоящего изобретения положена задача создать простой способ, минимальными средствами обеспечивающий обнаружение в реальном времени попыток несанкционированного доступа к ресурсам абонента компьютерной сети, в частности сети Интернет, осуществляемых средствами удаленного соединения и основанных на действиях от обманно присвоенного имени другого абонента этой компьютерной сети. The present invention is based on the task of creating a simple method that minimally detects real-time attempts to unauthorized access to the resources of a computer network subscriber, in particular the Internet, carried out by means of remote connection and based on actions from a fraudulently assigned name of another subscriber of this computer network.

Поставленная задача решается тем, что в способе обнаружения попыток несанкционированного доступа к ресурсам абонента компьютерной сети, осуществляемых средствами удаленного сетевого соединения, в котором проводят наблюдение за трафиком поступающих абоненту пакетов данных, выполняют проверку по заданным правилам и подают сигнал для принятия мер защиты от несанкционированного доступа, когда проверка выявляет соответствие указанным правилам, согласно изобретению для обнаружения попыток несанкционированного доступа к ресурсам абонента компьютерной сети, в которой связь между абонентами осуществляется путем передачи пакетов данных в соответствии протоколом TCP, производимых от обманно присвоенного имени другого абонента указанной сети, проводят наблюдение за трафиком адресованных абоненту пакетов данных, включающее постоянно возобновляемый подсчет числа пакетов, выполняемый в пределах серии пакетов, поступающих подряд друг за другом через промежутки времени не более заданного, при этом проверку поступающих пакетов данных на соответствие заданным правилам выполняют каждый раз, когда размер очередной наблюдаемой серии пакетов достигает критического числа пакетов. The problem is solved in that in the method for detecting attempts of unauthorized access to the resources of a computer network subscriber, carried out by means of a remote network connection, in which the traffic of data packets arriving to the subscriber is monitored, they are checked according to the given rules and give a signal for taking measures of protection against unauthorized access when the check reveals compliance with the specified rules, according to the invention for detecting attempts of unauthorized access to resources that computer network in which communication between subscribers is carried out by transmitting data packets in accordance with the TCP protocol produced from a fraudulently assigned name of another subscriber to the specified network, monitor the traffic of data packets addressed to the subscriber, including constantly renewed counting of the number of packets performed within a series of packets arriving successively one after another at intervals of no more than a given, while checking the incoming data packets for compliance with the specified rules yayut every time when the size of the next series of observed packet reaches the critical number of packets.

Способ предназначен для обеспечения защиты абонента путем предупреждения о попытке атаки путем подмены абонента компьютерной сети и основан на анализе необходимых условий для установления ложного соединения от имени подменяемого абонента, преимущественно, в сети Интернет. The method is intended to provide protection for the subscriber by warning of an attempted attack by substituting a subscriber for a computer network and is based on an analysis of the necessary conditions for establishing a false connection on behalf of a substitute subscriber, mainly on the Internet.

Для того, чтобы ложные пакеты сообщения, посылаемые атакующим атакуемому абоненту, были восприняты последним как посланные подменяемым абонентом, необходимо, чтобы эти пакеты имели определенные значения их идентификационных параметров, используемых в протоколе связи TCP. Эти значения могут быть известны атакующему лишь с некоторым приближением, зависящим от вида операционной системы атакуемого абонента и количества узлов компьютерной сети, через которые пакеты данных, посылаемые атакующим, достигают атакуемого абонента. Поэтому для подбора идентификационных параметров атакующий вынужден посылать атакуемому вместо одного пакета серию пакетов с различными значениями идентификационных параметров. In order for the false message packets sent by the attacking attacked subscriber to be interpreted by the latter as sent by the fake subscriber, it is necessary that these packets have certain values of their identification parameters used in the TCP communication protocol. These values can be known to the attacker only with some approximation, depending on the type of operating system of the attacked subscriber and the number of nodes of the computer network through which data packets sent by the attacker reach the attacked subscriber. Therefore, to select the identification parameters, the attacker is forced to send a series of packets with different values of the identification parameters instead of one packet to the attacker.

Потенциально опасными для защищаемого абонента компьютерной сети являются серии пакетов, следующих с малыми промежутками времени, так как вероятность успешного подбора идентификационных параметров падает с увеличением затрачиваемого на подбор времени. В связи с этим предложенный способ включает постоянное наблюдение за размером серий пакетов, поступающих с малыми промежутками времени. A series of packets following with small intervals of time are potentially dangerous for the protected subscriber of the computer network, since the probability of successful selection of identification parameters decreases with an increase in the time spent on selecting. In this regard, the proposed method includes constant monitoring of the size of the series of packets arriving at short intervals.

Критический размер серии, начиная с которого такая серия пакетов может обеспечить успешный подбор идентификационных параметров ложного пакета, может быть задан на основе результатов моделирования атаки, использующей подмену по меньшей мере одного из его доверенных объектов взаимодействия. The critical series size, starting from which such a series of packets can ensure the successful selection of false packet identification parameters, can be set based on the results of an attack simulation that uses the substitution of at least one of its trusted interaction objects.

Максимальную величину промежутка времени между соседними пакетами, относимыми к одной серии, предпочтительно задавать не менее времени, которое требуется абоненту на первичную обработку поступившего пакета. The maximum value of the time interval between adjacent packets belonging to the same series, it is preferable to set at least the time that the subscriber needs for the initial processing of the received packet.

Получение серии, размер которой достигает критического числа пакетов, служит сигналом для начала проверки поступающих пакетов. Такая проверка включает, например, формирование сигнала для принятия мер по защите от несанкционированного доступа, когда в пределах заданного интервала времени от достижения одной серией размера не менее критического числа пакетов обнаружена вторая серия, размер которой также достигает критического. Receiving a series whose size reaches a critical number of packets serves as a signal to begin checking incoming packets. Such a check includes, for example, the formation of a signal for taking measures to protect against unauthorized access, when, within a given time interval, from reaching one series of a size of at least a critical number of packets, a second series is detected, the size of which also reaches a critical one.

Целесообразно наблюдение за трафиком адресованных абоненту пакетов данных, включающее постоянно возобновляемый подсчет числа пакетов, выполняемый в пределах серии пакетов, поступающих подряд друг за другом через промежутки времени не более заданного, выполнять с помощью специализированного вычислительного устройства, обменивающегося сигналами с указанным абонентом. It is advisable to monitor the traffic of data packets addressed to the subscriber, including continuously renewed counting of the number of packets, performed within a series of packets arriving successively after each other at intervals of no more than a specified one, using a specialized computing device that exchanges signals with the specified subscriber.

Аппаратная реализация наблюдения за размером серий пакетов обеспечивает минимальное отвлечение ресурсов защищаемого компьютера на обнаружение атак. A hardware implementation of monitoring the size of a series of packets ensures minimal diversion of the protected computer's resources to detect attacks.

Предложенное изобретение далее рассмотрено на примере его предпочтительной реализации применительно к сети Интернет, со ссылками на чертежи, на которых:
Фиг. 1 изображает схему атаки, осуществляемой путем подмены абонента компьютерной сети.The proposed invention is further discussed on the example of its preferred implementation in relation to the Internet, with reference to the drawings, in which:
FIG. 1 shows a diagram of an attack carried out by changing a subscriber of a computer network.

Фиг. 2 изображает блок-схему устройства, реализующего наблюдение за размером серий поступающих защищаемому абоненту пакетов данных, при осуществлении способа обнаружения удаленных атак в компьютерной сети согласно настоящему изобретению. FIG. 2 depicts a block diagram of a device that monitors the size of a series of data packets arriving to a protected subscriber when implementing a method for detecting remote attacks in a computer network according to the present invention.

Фиг. 3 изображает блок-схему алгоритма проверки поступающих защищаемому абоненту пакетов данных, выполняемого при осуществлении способа обнаружения удаленных атак в компьютерной сети согласно настоящему изобретению, если наблюдение с помощью устройства, изображаемого фиг. 2, выявило серию, имеющую размер не менее заданного числа пакетов. FIG. 3 depicts a flowchart of an algorithm for verifying data packets arriving to a protected subscriber that is performed by implementing a method for detecting remote attacks in a computer network according to the present invention, if surveillance is performed using the device depicted in FIG. 2, revealed a series having a size of at least a given number of packets.

Фиг. 4 изображает временные диаграммы работы устройства, изображаемого фиг. 2, и действий при выполнении алгоритма, изображаемого фиг. 3. FIG. 4 is a timing diagram of the operation of the device of FIG. 2, and actions when executing the algorithm depicted in FIG. 3.

В сети Интернет базовым протоколом транспортного уровня является протокол TCP. В соответствии с протоколом TCP информация по компьютерной сети передается в виде пакетов фиксированной величины. Протокол TCP позволяет исправлять ошибки, которые могут возникнуть в процессе передачи пакетов, и является протоколом с установлением логического соединения - виртуального канала. По этому каналу передаются и принимаются пакеты с регистрацией их последовательности, осуществляется управление потоком пакетов, организовывается повторная передача искаженных пакетов, а в конце сеанса канал разрывается. При этом протокол TCP является протоколом, имеющим дополнительную систему идентификации сообщений и соединения. Протоколы прикладного уровня, предоставляющие пользователям удаленный доступ к другим абонентам сети Интернет, реализованы на базе протокола TCP. On the Internet, the basic transport layer protocol is TCP. In accordance with the TCP protocol, information on a computer network is transmitted in the form of packets of a fixed value. The TCP protocol allows you to correct errors that may occur during the transmission of packets, and is a protocol with the establishment of a logical connection - a virtual channel. Packets are transmitted and received on this channel with registration of their sequence, packet flow is controlled, retransmission of distorted packets is organized, and at the end of the session the channel is broken. At the same time, TCP is a protocol that has an additional message identification and connection system. Application layer protocols that provide users with remote access to other Internet subscribers are implemented on the basis of the TCP protocol.

TCP-пакет имеет заголовок, содержащий два идентификационных параметра пакета, представляющие собой 32-разрядные двоичные числа. Значения первого и второго идентификационных параметров пакета выполняют функцию текущих номеров, назначенных данному пакету, соответственно, его отправителем и получателем. Пара текущих номеров пакета указывает место данного пакета в последовательности пакетов, передаваемых в сеансе соединения. Кроме этого, TCP-заголовок содержит команды для абонента, которому предназначен пакет, а также его адрес. A TCP packet has a header that contains two packet identification parameters, which are 32-bit binary numbers. The values of the first and second identification parameters of the packet perform the function of the current numbers assigned to this packet, respectively, by its sender and recipient. A pair of current packet numbers indicates the location of a given packet in the sequence of packets transmitted in a connection session. In addition, the TCP header contains commands for the subscriber to whom the packet is intended, as well as its address.

Установление TCP-соединения между двумя абонентами сети Интернет, если инициатива принадлежит первому из них, осуществляется в следующем порядке. Establishing a TCP connection between two Internet subscribers, if the initiative belongs to the first of them, is carried out in the following order.

Первый абонент посылает в адрес второго абонента пакет, заголовок которого содержит значение первого идентификационного параметра, представляющее собой заданный первым абонентом начальный номер в последовательности текущих номеров пакетов данного сеанса соединения. The first subscriber sends a packet to the address of the second subscriber, the header of which contains the value of the first identification parameter, which is the initial number specified by the first subscriber in the sequence of the current packet numbers of this connection session.

Второй абонент отвечает первому посылкой второго пакета сеанса, заголовок которого содержит значение первого идентификационного параметра, представляющее собой присвоенный этому пакету вторым абонентом начальный номер, и значение второго - равное увеличенному на единицу значению начального номера, содержавшемуся в первом пакете сеанса, полученном от первого абонента. The second subscriber responds with the first sending of the second session packet, the header of which contains the value of the first identification parameter, which is the initial number assigned to this packet by the second subscriber, and the value of the second is equal to the unit value of the initial number contained in the first session packet received from the first subscriber.

Установление соединения заканчивается отправкой первым абонентом второму еще одного пакета, содержащего увеличенные на единицу значения обоих начальных номеров второго пакета сеанса. Establishment of the connection ends with the sending by the first subscriber to the second of another packet containing the values of both starting numbers of the second session packet increased by one.

С момента установления соединения первый абонент может посылать второму абоненту пакеты, содержащие данные. Каждый пакет, поступивший во время сеанса соединения его участнику, будет им интерпретирован как очередной пакет данного сеанса, если этот пакет имеет текущие номера, превосходящие на единицу значения текущих номеров предыдущего пакета, в противном случае полученный пакет будет отброшен как ошибочный. From the moment the connection is established, the first subscriber can send packets containing data to the second subscriber. Each packet arriving to the participant during the connection session will be interpreted by him as the next packet of this session if this packet has current numbers that are one higher than the current numbers of the previous packet, otherwise the received packet will be discarded as erroneous.

Причиной уязвимости для атак, основанных на подмене абонента, является несовершенство принципов формирования начальных номеров пакетов сеанса, заложенных в наиболее распространенных операционных системах (ОС), используемых абонентами сети Интернет. В большинстве операционных систем применяется времязависимый алгоритм генерации начального номера пакета TCP-соединения. Например, в ОС Windows NT 4.0 это значение увеличивается приблизительно на 10 каждую миллисекунду. The reason for the vulnerability for attacks based on the substitution of a subscriber is the imperfection of the principles of forming the initial numbers of session packets embedded in the most common operating systems (OS) used by Internet subscribers. Most operating systems use a time-dependent algorithm for generating the initial packet number of a TCP connection. For example, in Windows NT 4.0, this value increases by approximately 10 every millisecond.

Это дает злоумышленнику возможность приближенно определить вид функции, в соответствии с которой генерируется начальное значение идентификатора пакета. Для исследования ОС абонента сети Интернет злоумышленнику, также являющемуся абонентом этой сети, требуется послать указанному абоненту последовательность обычных запросов на создание TCP-соединения и принять соответствующее количество ответных пакетов, имеющих начальные номера, назначенные исследуемой ОС в каждый момент времени. При этом замеряются временные промежутки между запросом и ответом на него и время, прошедшее между запросами. Как понятно специалисту в численных математических методах, в результате такого исследования может быть построена эмпирическая временная зависимость начального номера, генерируемого исследуемой ОС, позволяющая прогнозировать его значение в виде интервальной оценки. Например, в случае нахождения злоумышленника в одном сегменте сети с выбранным мишенью атаки абонентом, подобная методика позволяет на коротком промежутке времени экстраполировать значение начального номера для ОС Windows NT - с точностью до 10, а для ОС Linux 1.2.8 - с точностью примерно до 100. This allows the attacker to approximately determine the type of function according to which the initial value of the packet identifier is generated. To investigate the OS of a subscriber of the Internet, an attacker who is also a subscriber of this network needs to send a specified subscriber a sequence of ordinary requests to create a TCP connection and receive the corresponding number of response packets having the start numbers assigned to the OS under study at each time point. At the same time, the time intervals between the request and the response to it and the time elapsed between requests are measured. As it is clear to a specialist in numerical mathematical methods, as a result of such a study, an empirical time dependence of the initial number generated by the OS under study can be constructed, which allows predicting its value in the form of an interval estimate. For example, if an attacker is in the same network segment with the selected attack target as a subscriber, this technique allows for a short period of time to extrapolate the initial number for Windows NT - with an accuracy of 10, and for Linux 1.2.8 - with an accuracy of about 100 .

Таким образом, предварительное исследование ОС абонента сети Интернет обеспечивает реальную возможность подбора текущих номеров пакета для подмены абонента компьютерной сети. Thus, a preliminary study of the OS of the Internet subscriber provides a real opportunity to select the current package numbers for replacing the subscriber of the computer network.

Значительную опасность вследствие наилучших условий для атаки представляет подмена доверенного абонента, имеющего упрощенный режим доступа, без проверки пароля, используемый в некоторых распространенных ОС, например, в ОС UNIX. Significant danger due to the best conditions for an attack is the substitution of a trusted subscriber with a simplified access mode without password verification, which is used in some common operating systems, for example, in UNIX OS.

Схему атаки, основанной на подмене абонента иллюстрирует фиг. 1. The attack scheme based on the substitution of a subscriber is illustrated in FIG. 1.

На фиг. 1 изображены подменяемый абонент 1, абонент 2, являющийся объектом атаки, и атакующий злоумышленник 3. In FIG. 1 shows a fake subscriber 1, subscriber 2, which is the object of attack, and an attacking attacker 3.

Атакующий 3 посылает абоненту 2 пакет, содержащий запрос на установление соединения от имени подменяемого абонента 1. Этот пакет, содержащий начальный номер N03, который задан атакующим 3, через некоторое время достигает абонента 1. Абонент 2, в соответствии с процедурой установления соединения по протоколу TCP, отвечает на полученный пакет запроса пакетом подтверждения, содержащим первый текущий номер, равный начальному номеру, заданному абонентом 2, N2=N02, и второй текущий номер, равный увеличенному на единицу начальному номеру из пакета запроса, N3=N03+1. Attacker 3 sends to subscriber 2 a packet containing a request to establish a connection on behalf of the fake subscriber 1. This packet containing the starting number N03, which is assigned by attacker 3, after a while reaches subscriber 1. Subscriber 2, in accordance with the procedure for establishing a TCP connection , responds to the received request packet with a confirmation packet containing the first current number equal to the initial number specified by subscriber 2, N2 = N02, and the second current number equal to one increased by the initial number from the request packet a, N3 = N03 + 1.

Существенной особенностью атаки, основанной на подмене абонента, является то, что атакующий 3 не получает ответов от атакуемого абонента 2, так как все пакеты, посылаемые атакуемым абонентом 2 в ответ на ложные пакеты атакующего 3, адресованы подменяемому абоненту 1. Вмешательство абонента 1 в ответ на подтверждение соединения, которое абонент 1 не запрашивал, помешает продолжению атаки. Поэтому, в данной схеме атаки, атакующему 3 необходимо одновременно атаковать абонента 1, например, серией запросов на установление соединения, чтобы создать у него отказ в обслуживании на время атаки. A significant feature of the attack based on the substitution of the subscriber is that the attacker 3 does not receive responses from the attacked subscriber 2, since all packets sent by the attacked subscriber 2 in response to the false packets of the attacker 3 are addressed to the substitute subscriber 1. Intervention of subscriber 1 in response to confirm the connection, which subscriber 1 did not request, will prevent the continuation of the attack. Therefore, in this attack scheme, attacker 3 needs to simultaneously attack subscriber 1, for example, with a series of requests to establish a connection in order to create a denial of service for him during the attack.

Для завершения установления ложного соединения атакующий 3 должен послать абоненту 2 пакет, имеющий верные значения обоих текущих номеров. Один из этих номеров, N3, известен атакующему 3, так как формируется из заданного им самим начального номера пакета запроса. Атакующему 3 из предварительного исследования может быть известен также интервал, в пределах которого с заданной вероятностью находится значение начального номера N02. Однако атакующий 3 может руководствоваться лишь оценкой начального номера N02, так как момент получения от него абонентом 2 ложного пакета запроса и, соответственно, момент присвоения абонентом 2 начального номера N02 пакету подтверждения, зависят от задержки пересылки пакета по сети Интернет. Эта задержка случайным образом может изменяться в пределах от единиц миллисекунд до одной секунды в зависимости от загрузки участка сети между атакующим 3 и абонентом 2 в момент отправки пакета запроса. Поэтому атакующий 3, для завершения установления ложного соединения, вынужден вместо одного пакета послать атакуемому абоненту 2 серию пакетов, обеспечивающую перебор значений начального номера N02 в определенном атакующим 3 интервале. Величина промежутков времени следования пакетов в серии определяет общую продолжительность серии, а поскольку ошибка экстраполяции начального номера N02 пропорциональна интервалу экстраполяции, то чем больше промежутки времени следования пакетов в серии, тем больше требуется размер серии. To complete the establishment of a false connection, the attacker 3 must send to the subscriber 2 a packet that has the correct values of both current numbers. One of these numbers, N3, is known to attacker 3, since it is formed from the initial number of the request packet specified by himself. The attacker 3 from the preliminary investigation may also know the interval within which, with a given probability, is the value of the initial number N02. However, the attacker 3 can only be guided by the evaluation of the starting number N02, since the moment subscriber 2 receives a false request packet from him and, accordingly, the moment subscriber 2 assigns the starting number N02 to the confirmation packet, depend on the delay in sending the packet over the Internet. This delay can randomly vary from a few milliseconds to one second depending on the loading of a network section between attacker 3 and subscriber 2 at the time of sending the request packet. Therefore, attacker 3, in order to complete the establishment of a false connection, is forced to send to the attacked subscriber 2 a series of packets instead of one packet, which enumerates the values of the initial number N02 in the interval defined by the attacker 3. The size of the time intervals for packets in the series determines the total duration of the series, and since the extrapolation error of the initial number N02 is proportional to the extrapolation interval, the longer the time intervals for packets in the series, the larger the size of the series.

Проведенные авторами расчеты показывают, что вероятность успешной атаки падает при увеличении промежутков времени следования пакетов в серии, поэтому выгодной для злоумышленника стратегией является посылка серий с минимальными промежутками времени между пакетами. The calculations performed by the authors show that the probability of a successful attack decreases with an increase in the time intervals for packets to follow in a series, therefore sending a series with minimal time intervals between packets is an advantageous strategy for an attacker.

Вторая серия пакетов, каждый из которых может содержать команды для получения в дальнейшем доступа к ресурсам абонента 2, должна быть послана атакующим 3 с интервалом времени по отношению к предыдущей серии, выбранным так, чтобы с высокой вероятностью, при случайной задержке передачи по сети, пакет второй серии с правильным значением текущего номера N2=N02+1 достиг абонента 2 после получения им пакета с начальным номером N02 из первой серии пакетов, так как в противном случае атака сорвется. Это означает, что на стороне абонента 2 следующие друг за другом серии пакетов, как правило, не должны перекрываться, то есть разделены интервалом, превышающим промежутки времени между пакетами серии. The second series of packets, each of which may contain commands for gaining further access to the resources of subscriber 2, must be sent by attacker 3 with an interval of time in relation to the previous series, chosen so that with high probability, in case of an accidental delay in transmission over the network, the packet the second series with the correct value of the current number N2 = N02 + 1 reached subscriber 2 after receiving a packet with the starting number N02 from the first series of packets, since otherwise the attack will fail. This means that on the subscriber side 2, successive series of packets, as a rule, should not overlap, that is, separated by an interval exceeding the time intervals between series packets.

Атака возможна также во время сеанса соединения между двумя абонентами сети Интернет путем попытки подмены одного из участников соединения. В этом случае, даже если соединение между абонентами устанавливается с помощью пароля, злоумышленнику не требуется знание пароля, поскольку, после того как соединение установлено, пароль уже не используется участниками соединения. An attack is also possible during a connection between two Internet subscribers by trying to replace one of the participants in the connection. In this case, even if the connection between the subscribers is established using a password, the attacker does not need to know the password, because after the connection is established, the password is no longer used by the participants in the connection.

Атака во время сеанса соединения между абонентами 1 и 2 может проводиться в основном также, как при описанном выше установлении ложного соединения, и также требует создания отказа в обслуживании подменяемого абонента 1. Основное отличие состоит в том, что атака во время сеанса соединения требует подбора обоих текущих номеров, соответственно, N1 и N2, для ложного пакета. При этом размер серий посылаемых пакетов увеличивается в квадрате по отношению к размеру серий, необходимому при установлении ложного соединения. То есть, наибольшую опасность представляет попытка установлении ложного соединения от имени другого абонента, так как при этом требуется минимальный размер серий пакетов, который в наиболее благоприятных для злоумышленника условиях может не превышать нескольких десятков. An attack during a connection session between subscribers 1 and 2 can be carried out in the same way as in the case of the establishment of a false connection described above, and also requires the creation of a denial of service for the fake subscriber 1. The main difference is that an attack during a connection session requires the selection of both current numbers, respectively, N1 and N2, for a false packet. At the same time, the size of the series of the sent packets increases in the square with respect to the size of the series required when establishing a false connection. That is, the greatest danger is an attempt to establish a false connection on behalf of another subscriber, since this requires a minimum packet series size, which in the most favorable conditions for an attacker can not exceed several tens.

Таким образом, атака на абонента компьютерной сети в любом случае характеризуется поступлением этому абоненту с некоторым интервалом по меньшей мере двух серий пакетов, в которых пакеты следуют с малыми промежутками времени. Thus, an attack on a subscriber of a computer network is in any case characterized by the arrival of at least two series of packets in this subscriber, in which packets follow at short intervals.

Согласно настоящему изобретению, способ обнаружения попыток несанкционированного доступа к ресурсам абонента компьютерной сети включает две фазы: первую - постоянное наблюдение за размером поступающих защищаемому абоненту серий TCP-пакетов, в которых пакеты следуют с промежутками времени не более заданного, и вторую - дальнейшую проверку для принятия решения, имеет ли место атака, если наблюдение выявило серию пакетов, размер которой превышает заданное число пакетов. According to the present invention, the method for detecting attempts of unauthorized access to the resources of a computer network subscriber includes two phases: the first is the constant monitoring of the size of the series of TCP packets arriving to the protected subscriber, in which the packets follow at intervals of no more than a specified one, and the second is a further check for acceptance decide whether an attack occurs if an observation reveals a series of packets that are larger than a given number of packets.

Если в качестве защищаемого абонента выступает персональный компьютер, то настоящее изобретение может быть реализовано полностью программно, то есть с помощью этих устройств, снабженных соответствующей вычислительной программой, которая будет выполняться центральными процессорами таких устройств. Однако предпочтительным является вариант аппаратной реализации наблюдения за размером серий пакетов и программной реализации фазы проверки, который, с одной стороны, обеспечивает минимальное отвлечение ресурсов защищаемого компьютера на обнаружение атак, и с другой стороны, допускает максимальную гибкость в использовании различных вариантов проверки. If the personal computer acts as the protected subscriber, the present invention can be implemented fully in software, that is, with the help of these devices equipped with the appropriate computing program that will be executed by the central processors of such devices. However, the preferred variant is the hardware implementation of monitoring the size of the series of packets and the software implementation of the verification phase, which, on the one hand, provides minimal diversion of resources of the protected computer to detect attacks, and on the other hand, allows maximum flexibility in the use of various scan options.

На фиг. 2 изображена блок-схема устройства 4, реализующего наблюдение за размером серий пакетов согласно настоящему изобретению. Устройство 4 изображено во взаимодействии с защищаемым компьютером, абонентом 2, через интерфейс 5, устройство которого, например, при подключении к общей шине компьютера, является очевидным специалисту в данной области техники и не имеет никаких особенностей, связанных с настоящим изобретением. In FIG. 2 is a block diagram of a device 4 that implements packet size monitoring according to the present invention. The device 4 is shown in interaction with the protected computer, the subscriber 2, through the interface 5, the device of which, for example, when connected to a common computer bus, is obvious to a person skilled in the art and does not have any features related to the present invention.

От абонента 2 в устройство 4 через интерфейс 5 поступают цифровые коды натуральных чисел t0, заданной максимальной величины промежутка времени между соседними пакетами, относимыми к одной серии, и k0, заданного критического размера серии пакетов, обозначенные, соответственно, позициями 6 и 7; импульсы тактовой частоты внутреннего генератора абонента 2 - позиция 8; импульсы пакетов, соответствующие моментам окончания первичной обработки поступающих абоненту 2 TCP-пакетов - позиция 9; логический сигнал установки устройства 4 в исходное состояние - позиция 10. From subscriber 2 to the device 4 through the interface 5, digital codes of natural numbers t0, a given maximum value of the time interval between adjacent packets belonging to the same series, and k0, a given critical size of the series of packets, indicated by positions 6 and 7, respectively, are received; pulses of the clock frequency of the internal generator of the subscriber 2 - position 8; packet pulses corresponding to the moment of completion of the initial processing of TCP packets arriving to subscriber 2 - position 9; the logical signal of the installation of the device 4 in the initial state is position 10.

Обратно от устройства 4 абоненту 2 передаются логические переменные: позицией 11 обозначена переменная S, имеющая значение TRUE от момента, когда первый раз размер наблюдаемой серии достиг значения k0, до момента окончания этой серии, и значение FALSE вне этого промежутка времени; а также обозначенный позицией 12 сигнал логической переменной Flag, имеющей значение TRUE от момента окончания первой обнаруженной серии размера не менее k0 до получения от абонента 2 сигнала установки устройства 4 в исходное состояние, переменная Flag имеет значение FALSE вне этого промежутка времени. Logical variables are transferred back to device 2 to subscriber 2: position 11 denotes the variable S, which has the value TRUE from the moment when the size of the observed series reaches the value k0 for the first time until the end of this series, and the value is FALSE outside this period of time; as well as the signal of the logical variable Flag, indicated by the position 12, having the value TRUE from the moment of the end of the first detected series of size not less than k0 to the receipt of the signal from the subscriber 2 to set the device 4 to its initial state, the variable Flag has the value FALSE outside this period of time.

Импульсы тактовой частоты с выхода 8 интерфейса 5 поступают на счетный вход счетчика 13, играющего роль таймера для измерения промежутков времени следования пакетов. Счетчик 13 устанавливается в "0" каждым импульсом пакета с выхода 9 интерфейса 5. Таким образом, число tp в момент прихода очередного импульса пакета пропорционально промежутку времени между этим пакетом и предыдущим. Выходами разрядов счетчик 13 соединен с входами компаратора 14 кодов, выполняющего функцию устройства сравнения промежутка времени tp, подсчитанного счетчиком 13, с заданным значением to, которое заносится из интерфейса 5 в регистр 15 памяти, соединенный с компаратором 14. Pulses of the clock frequency from the output 8 of the interface 5 are fed to the counting input of the counter 13, which plays the role of a timer for measuring the time intervals of packets. The counter 13 is set to "0" by each pulse of the packet from the output 9 of the interface 5. Thus, the number tp at the time of the arrival of the next pulse of the packet is proportional to the time interval between this packet and the previous one. By the outputs of the discharges, the counter 13 is connected to the inputs of the code comparator 14, which acts as a device for comparing the time interval tp calculated by the counter 13 with the set value to, which is entered from the interface 5 into the memory register 15 connected to the comparator 14.

Через устройство 16, реализующее функцию логического "И", на счетный вход счетчика 17 пакетов поступают импульсы пакетов. Счетчик 17 подсчитывает число k пакетов, относящихся к текущей серии до тех пор пока значение tp в счетчике 13 не достигнет значения t0. При выполнении условия "tp равно t0" с выхода компаратора 14 на вход сброса счетчика 17 пакетов поступает логический сигнал установки в "0". Through the device 16, which implements the logical AND function, packet pulses arrive at the counting input of the packet counter 17. The counter 17 counts the number k of packets related to the current series until the tp value in the counter 13 reaches the value t0. When the condition "tp is equal to t0" from the output of the comparator 14 to the reset input of the counter 17 packets receives a logical signal setting to "0".

Максимальную величину t0 промежутка времени между соседними пакетами, относимыми к одной серии, предпочтительно задавать равной времени, которое требуется защищаемому абоненту компьютерной сети на первичную обработку поступившего пакета, например, 3 мсек. Как правило, пропускная способность сетевого интерфейса, через который абонент подключен к компьютерной сети, имеет запас, обеспечивающий работу сетевого интерфейса без его переполнения при обычном трафике передаваемых сообщений. Факт возрастания потока поступающих пакетов до величины, превышающей пропускную способность сетевого интерфейса используется в настоящем способе как предварительное указание на возможную атаку. It is preferable to set the maximum value t0 of the time interval between adjacent packets belonging to the same series equal to the time that the protected subscriber of the computer network needs for the initial processing of the received packet, for example, 3 ms. As a rule, the bandwidth of the network interface through which the subscriber is connected to the computer network has a margin that ensures the network interface works without overflowing during normal traffic of transmitted messages. The fact that the flow of incoming packets increases to a value exceeding the bandwidth of the network interface is used in this method as a preliminary indication of a possible attack.

Счетчик 17 соединен выходами разрядов с компаратором 18 кодов, в котором производится сравнение подсчитанного счетчиком 17 размера k серии с заданным критическим размером k0, значение которого заносится из интерфейса 5 в регистр 19 памяти, соединенный с компаратором 18. The counter 17 is connected by the outputs of the bits to the code comparator 18, in which the series k of the size k calculated by the counter 17 is compared with a given critical size k0, the value of which is entered from the interface 5 into the memory register 19 connected to the comparator 18.

Логический сигнал на выходе компаратора 18 представляет логическую переменную S. Логический сигнал с выхода компаратора 18, подаваемый на инвертирующий вход устройства 16, прекращает подачу импульсов пакетов на счетчик 17 при выполнении условия "k равно k0". Фиксация значения k в счетчике 17 на уровне k0 вплоть до окончания текущей серии, если ее размер превышает k0, исключает переполнение счетчика 17 при длительной перегрузке сетевого интерфейса абонента 2. The logical signal at the output of the comparator 18 represents a logical variable S. The logical signal from the output of the comparator 18, applied to the inverting input of the device 16, stops the supply of packet pulses to the counter 17 when the condition "k is equal to k0" is fulfilled. Fixing the value of k in the counter 17 at the level k0 up to the end of the current series, if its size exceeds k0, eliminates the overflow of the counter 17 during prolonged overload of the network interface of subscriber 2.

Сигнал с выхода устройства 20, логического "И", устанавливает триггер 21 в состояние "1" при совпадении условий "tp равно t0" и "k равно k0". Выходной сигнал триггера 21 представляет собой логическую переменную Flag, содержащую информацию о получении серии TCP-пакетов с размером не менее заданного критического размера k0. Сброс триггера 21 осуществляется сигналом от абонента 2, передаваемым по выходу 10 интерфейса 5. The signal from the output of the device 20, a logical "And", sets the trigger 21 to the state "1" when the conditions "tp is equal to t0" and "k is equal to k0". The output signal of trigger 21 is a logical variable Flag, containing information about receiving a series of TCP packets with a size of at least a given critical size k0. The reset of the trigger 21 is carried out by a signal from the subscriber 2 transmitted on the output 10 of the interface 5.

Таким образом, с помощью устройства 4 выполняется постоянное наблюдение за трафиком адресованных защищаемому абоненту пакетов данных, в процессе которого достигается обнаружение серий пакетов с размером не менее критического. Критический размер k0 серии может быть выбран минимальной величины, начиная с которой такая серия пакетов способна обеспечить успешную атаку. Например, если защищаемый абонент использует ОС WINDOWS NT 4.0, величина k0 может быть задана равной 10. Однако предпочтительным является выбор величины k0 на основе компромисса между чувствительностью способа при обнаружении атак и уровнем ложных тревог, определенным по результатам моделирования подмены по меньшей мере одного из доверенных объектов взаимодействия защищаемого абонента. Thus, with the help of device 4, traffic is continuously monitored for data packets addressed to the protected subscriber, during which detection of series of packets with a size of at least critical is achieved. The critical size k0 of the series can be chosen as the minimum value, starting from which such a series of packets is capable of ensuring a successful attack. For example, if the protected subscriber uses WINDOWS NT 4.0, the value of k0 can be set to 10. However, it is preferable to choose the value of k0 based on a compromise between the sensitivity of the method when detecting attacks and the level of false alarms, determined from the simulation of the substitution of at least one of the trusted objects of interaction of the protected subscriber.

Как было указано выше, предпочтительна программная реализация алгоритма проверки. As indicated above, a software implementation of the verification algorithm is preferred.

Фазу проверки поступающих защищаемому абоненту TCP-пакетов на предмет атаки иллюстрирует блок-схема алгоритма на фиг. 3. The phase of checking the incoming TCP packets to the protected subscriber for an attack is illustrated by the flowchart of FIG. 3.

Выполнение алгоритма начинается с операции 22 проверки значения логической переменной S. Опрос этого значения может производиться с интервалом времени, примерно равным длительности серии размером k0 без риска задержки обнаружения атаки. The algorithm begins with step 22 of checking the value of the logical variable S. This value can be polled at a time interval approximately equal to the duration of a series of size k0 without the risk of delaying the detection of an attack.

Если S равно FALSE, выполняется операция 23 проверки значения логической переменной Flag, если и ее значение равно FALSE, то на этом цикл выполнения алгоритма заканчивается. If S is FALSE, the operation 23 checks the value of the logical variable Flag, if its value is FALSE, then the algorithm execution cycle ends.

Если одна из переменных S или Flag имеет значение TRUE, то выполняется операция 24 по проверке значения вспомогательной логической переменной R, используемой для однократного выполнения операции 25 занесения в память значения момента Ts, когда первая серия пакетов достигает размера k0, после операции 25 выполняется операция 26 назначения переменной R значения TRUE. При повторном выполнении операции 24, когда переменная R равна TRUE, выполняется операция 27, в которой производится сравнение разности между текущим моментом времени, к которому вторая серия пакетов достигла размера k0, и зафиксированным моментом Ts с заданным максимальным интервалом tm времени. Этот интервал может быть задан равным максимальному времени, устанавливаемому защищаемым абонентом для ожидания продолжения сеанса связи, обычно, несколько десятков секунд, по истечении которого связь разрывается абонентом в случае непоступления за это время очередного пакета от партнера по соединению. Если интервал времени между последовательно полученными сериями критического размера не превышает заданного, то выполняется операция 28 присвоения логической переменной Alarm значения TRUE, представляющей собой сигнал тревоги, по которому принимаются меры защиты от атаки.If one of the variables S or Flag has the value TRUE, then operation 24 is performed to check the value of the auxiliary logical variable R, which is used to once execute operation 25 of storing the value of the moment Ts when the first series of packets reaches size k0; after operation 25, operation 26 assign the variable R to TRUE. When the operation 24 is repeated, when the variable R is TRUE, the operation 27 is performed in which the difference between the current time moment by which the second series of packets has reached the size k0 and the fixed moment T s with the given maximum time interval tm is compared. This interval can be set equal to the maximum time set by the protected subscriber to wait for the continuation of the communication session, usually several tens of seconds, after which the connection is disconnected by the subscriber if the next packet does not arrive from the connection partner during this time. If the time interval between successively obtained series of critical size does not exceed the specified one, then the operation 28 is performed for assigning the logical variable Alarm to TRUE, which is an alarm signal for which protection against attack is taken.

Если условие операции 27 не выполняется, то осуществляется переход к операциям 29, 30 назначения переменным R и Flag значения FALSE. Последняя операция 30 осуществляется путем передачи сигнала сброса на триггер 21 через интерфейс 5 (фиг. 2)
На фиг. 4 изображен примерный вид временных диаграмм величин k, S, Flag, Alarm во время атаки.If the condition of operation 27 is not satisfied, then the operation proceeds to operations 29, 30 of assigning to the variables R and Flag the value FALSE. The last operation 30 is carried out by transmitting a reset signal to the trigger 21 via interface 5 (Fig. 2)
In FIG. 4 shows an exemplary view of time diagrams of k, S, Flag, Alarm values during an attack.

Возможно применение более сложных алгоритмов проверки. В частности, после обнаружения серии пакетов, имеющей размер более критического, может производиться дальнейшая оценка размера этой серии и использование различных мер защиты в зависимости от размеров серий. Проверка может включать также хранение в течение определенного времени сведений обо всех фактах получения серий критического размера, в том числе, не вызвавших непосредственно сигнала тревоги, для принятия на определенный период времени дополнительных защитных мер. Perhaps the use of more complex verification algorithms. In particular, after the discovery of a series of packets having a size that is more critical, a further assessment of the size of this series and the use of various protection measures depending on the size of the series can be made. The audit may also include storage for a certain time of information about all facts of obtaining a series of critical size, including those that did not directly trigger an alarm, for taking additional protective measures for a certain period of time.

В приведенном примере реализации настоящего изобретения под защищаемым абонентом подразумевался персональный компьютер. Однако это не налагает ограничений на вид защищаемого объекта, абонента компьютерной сети, в качестве такового может выступать, например, сервер локальной сети, подключенный к сети Интернет, или периферийное устройство. In the example implementation of the present invention, the protected subscriber was a personal computer. However, this does not impose restrictions on the type of protected object, a subscriber of a computer network, such as, for example, a LAN server connected to the Internet or a peripheral device.

Claims (4)

1. Способ обнаружения попыток несанкционированного удаленного доступа к ресурсам абонента компьютерной сети, в которой связь между абонентами осуществляется путем передачи пакетов данных в соответствии с протоколом ТСР, включающий наблюдение за трафиком поступающих абоненту пакетов данных, проверку этих пакетов по заданным правилам и подачу сигнала для принятия мер защиты от несанкционированного доступа, когда проверка выявляет соответствие указанным правилам, отличающийся тем, что для обнаружения попыток несанкционированного доступа, производимых от обманно присвоенного имени другого абонента сети, проводят наблюдение за трафиком адресованных абоненту пакетов данных, включающее постоянно возобновляемый подсчет числа пакетов, выполняемый в пределах серии пакетов, поступающих подряд друг за другом через промежутки времени не более заданного, при этом проверку поступающих пакетов данных на соответствие заданным правилам выполняют каждый раз, когда размер очередной наблюдаемой серии достигает критического числа пакетов. 1. A method for detecting attempts of unauthorized remote access to the resources of a computer network subscriber, in which communication between subscribers is carried out by transmitting data packets in accordance with the TCP protocol, including monitoring the traffic of data packets arriving to the subscriber, checking these packets according to predetermined rules, and signaling for reception protection measures against unauthorized access, when the check reveals compliance with the specified rules, characterized in that to detect attempts of unauthorized access UPA, produced from a misleadingly assigned name of another network subscriber, monitors the traffic of data packets addressed to the subscriber, including continuously renewed counting of the number of packets performed within a series of packets arriving in succession one after another at intervals of no more than specified, while checking incoming packets data on compliance with the given rules is performed every time the size of the next observed series reaches a critical number of packets. 2. Способ по п. 1, отличающийся тем, что максимальная величина промежутка времени между соседними пакетами, относимыми к одной серии, задается не менее времени, которое требуется абоненту на первичную обработку поступившего пакета. 2. The method according to p. 1, characterized in that the maximum value of the time interval between adjacent packets belonging to the same series is set at least the time that the subscriber needs for the initial processing of the received packet. 3. Способ по п. 1, отличающийся тем, что сигнал для принятия мер по защите от несанкционированного доступа подают, когда в пределах заданного интервала времени с момента окончания одной серии пакетов данных, имеющей размер не менее критического числа пакетов, размер очередной наблюдаемой серии достигает критического. 3. The method according to p. 1, characterized in that the signal for taking measures to protect against unauthorized access is given when, within a predetermined time interval from the end of one series of data packets having a size of at least a critical number of packets, the size of the next observed series reaches critical. 4. Способ по п. 1, отличающийся тем, что наблюдение за трафиком адресованных абоненту пакетов данных, включающее постоянно возобновляемый подсчет числа пакетов, выполняемый в пределах серии пакетов, поступающих подряд друг за другом через промежутки времени не более заданного, выполняют с помощью приспособленного для этого вычислительного устройства, обменивающегося сигналами с указанным абонентом. 4. The method according to claim 1, characterized in that monitoring the traffic of data packets addressed to the subscriber, including continuously renewed counting of the number of packets, performed within a series of packets arriving successively after each other at intervals no more than specified, is performed using this computing device exchanging signals with the specified subscriber.
RU2000111077/09A 2000-04-24 2000-04-24 Method for detecting remote attacks in computer network RU2179738C2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
RU2000111077/09A RU2179738C2 (en) 2000-04-24 2000-04-24 Method for detecting remote attacks in computer network

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
RU2000111077/09A RU2179738C2 (en) 2000-04-24 2000-04-24 Method for detecting remote attacks in computer network

Publications (2)

Publication Number Publication Date
RU2179738C2 true RU2179738C2 (en) 2002-02-20
RU2000111077A RU2000111077A (en) 2003-07-20

Family

ID=20234190

Family Applications (1)

Application Number Title Priority Date Filing Date
RU2000111077/09A RU2179738C2 (en) 2000-04-24 2000-04-24 Method for detecting remote attacks in computer network

Country Status (1)

Country Link
RU (1) RU2179738C2 (en)

Cited By (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2472211C1 (en) * 2011-11-23 2013-01-10 Федеральное государственное военное образовательное учреждение высшего профессионального образования "Военная академия связи имени маршала Советского Союза С.М. Буденного" Министерства обороны Российской Федерации Method of protecting information computer networks from computer attacks
RU2475836C1 (en) * 2012-03-12 2013-02-20 Федеральное государственное военное образовательное учреждение высшего профессионального образования "Военная академия связи имени маршала Советского Союза С.М. Буденного" Министерства обороны Российской Федерации Method for protection of computer networks
RU2506644C2 (en) * 2012-03-12 2014-02-10 Федеральное государственное военное образовательное учреждение высшего профессионального образования "Военный авиационный инженерный университет" (г.Воронеж) Министерства обороны Российской Федерации Apparatus for detecting unauthorised actions on data telecommunication system
RU2517164C2 (en) * 2009-07-02 2014-05-27 Абб Рисерч Лтд METHOD OF LIMITING AMOUNT OF NETWORK TRAFFIC REACHING LOCAL NODE OPERATING ACCORDING TO INDUSTRIAL Ethernet PROTOCOL
RU2628902C2 (en) * 2011-09-12 2017-08-22 МАЙКРОСОФТ ТЕКНОЛОДЖИ ЛАЙСЕНСИНГ, ЭлЭлСи Coordination mechanism for cloud choice
RU2642403C1 (en) * 2016-04-26 2018-01-24 Андрей Алексеевич Панкин Method for protecting information and telecommunication network from passive computer attacks
RU2649789C1 (en) * 2017-07-17 2018-04-04 федеральное государственное казенное военное образовательное учреждение высшего образования "Краснодарское высшее военное училище имени генерала армии С.М. Штеменко" Министерства обороны Российской Федерации Method of computer networks protection
RU2683631C1 (en) * 2017-12-08 2019-03-29 федеральное государственное казенное военное образовательное учреждение высшего образования "Военная академия связи имени Маршала Советского Союза С.М. Буденного" Министерства обороны Российской Федерации Computer attacks detection method
RU2689814C1 (en) * 2018-09-28 2019-05-29 Максим Валерьевич Шептунов Method of monitoring the security of dynamic identification codes with their comparative evaluation and support for selection of the best

Cited By (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2517164C2 (en) * 2009-07-02 2014-05-27 Абб Рисерч Лтд METHOD OF LIMITING AMOUNT OF NETWORK TRAFFIC REACHING LOCAL NODE OPERATING ACCORDING TO INDUSTRIAL Ethernet PROTOCOL
RU2628902C2 (en) * 2011-09-12 2017-08-22 МАЙКРОСОФТ ТЕКНОЛОДЖИ ЛАЙСЕНСИНГ, ЭлЭлСи Coordination mechanism for cloud choice
US9781205B2 (en) 2011-09-12 2017-10-03 Microsoft Technology Licensing, Llc Coordination engine for cloud selection
RU2472211C1 (en) * 2011-11-23 2013-01-10 Федеральное государственное военное образовательное учреждение высшего профессионального образования "Военная академия связи имени маршала Советского Союза С.М. Буденного" Министерства обороны Российской Федерации Method of protecting information computer networks from computer attacks
RU2475836C1 (en) * 2012-03-12 2013-02-20 Федеральное государственное военное образовательное учреждение высшего профессионального образования "Военная академия связи имени маршала Советского Союза С.М. Буденного" Министерства обороны Российской Федерации Method for protection of computer networks
RU2506644C2 (en) * 2012-03-12 2014-02-10 Федеральное государственное военное образовательное учреждение высшего профессионального образования "Военный авиационный инженерный университет" (г.Воронеж) Министерства обороны Российской Федерации Apparatus for detecting unauthorised actions on data telecommunication system
RU2642403C1 (en) * 2016-04-26 2018-01-24 Андрей Алексеевич Панкин Method for protecting information and telecommunication network from passive computer attacks
RU2649789C1 (en) * 2017-07-17 2018-04-04 федеральное государственное казенное военное образовательное учреждение высшего образования "Краснодарское высшее военное училище имени генерала армии С.М. Штеменко" Министерства обороны Российской Федерации Method of computer networks protection
RU2683631C1 (en) * 2017-12-08 2019-03-29 федеральное государственное казенное военное образовательное учреждение высшего образования "Военная академия связи имени Маршала Советского Союза С.М. Буденного" Министерства обороны Российской Федерации Computer attacks detection method
RU2689814C1 (en) * 2018-09-28 2019-05-29 Максим Валерьевич Шептунов Method of monitoring the security of dynamic identification codes with their comparative evaluation and support for selection of the best

Similar Documents

Publication Publication Date Title
US7711790B1 (en) Securing an accessible computer system
KR101369727B1 (en) Apparatus and method for controlling traffic based on captcha
Bellovin Defending against sequence number attacks
US8819769B1 (en) Managing user access with mobile device posture
KR101217647B1 (en) Method and apparatus for defending against denial of service attacks in IP networks based on specified source/destination IP address pairs
US8181237B2 (en) Method for improving security of computer networks
US20100235879A1 (en) Systems, methods, and media for enforcing a security policy in a network including a plurality of components
CN109327426A (en) A kind of firewall attack defense method
CN101390064A (en) Preventing network reset denial of service attacks using embedded authentication information
US20120324573A1 (en) Method for determining whether or not specific network session is under denial-of-service attack and method for the same
RU2179738C2 (en) Method for detecting remote attacks in computer network
CN109743294A (en) Interface access control method, device, computer equipment and storage medium
WO2005104476A1 (en) Self-propagating program detector apparatus, method, signals and medium
CN111314381A (en) Safety isolation gateway
CN108183921A (en) The system and method that information security threat interruption is carried out via borde gateway
Daniels et al. Identification of host audit data to detect attacks on low-level IP vulnerabilities
CN110266673A (en) Security strategy optimized treatment method and device based on big data
CN111740982B (en) Server anti-attack method and system based on computing power certification
CN108667829A (en) A kind of means of defence of network attack, device and storage medium
KR101020470B1 (en) Methods and apparatus for blocking network intrusion
RU2628913C1 (en) Method of detecting remote attacks on automated control systems
RU2684575C1 (en) METHOD FOR CONTROL OF DISTRIBUTED INFORMATION SYSTEM DATA STREAMS IN DDoS ATTACKS
RU2267154C1 (en) Method for controlling information streams in digital communication networks
CN109617893B (en) Method and device for preventing botnet DDoS attack and storage medium
RU2261472C1 (en) Method for monitoring safety of automated systems

Legal Events

Date Code Title Description
MM4A The patent is invalid due to non-payment of fees

Effective date: 20040425