RU2179738C2 - Method for detecting remote attacks in computer network - Google Patents
Method for detecting remote attacks in computer network Download PDFInfo
- Publication number
- RU2179738C2 RU2179738C2 RU2000111077/09A RU2000111077A RU2179738C2 RU 2179738 C2 RU2179738 C2 RU 2179738C2 RU 2000111077/09 A RU2000111077/09 A RU 2000111077/09A RU 2000111077 A RU2000111077 A RU 2000111077A RU 2179738 C2 RU2179738 C2 RU 2179738C2
- Authority
- RU
- Russia
- Prior art keywords
- subscriber
- packets
- series
- arriving
- size
- Prior art date
Links
Images
Landscapes
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
Description
Изобретение относится к области защиты от несанкционированного доступа к ресурсам компьютерной системы, а именно к способам и устройствам, обеспечивающим обнаружение удаленных атак на абонентов компьютерных сетей, осуществляемых средствами сетевого соединения, в частности, в глобальных компьютерных сетях, и защиту от подобного рода действий. The invention relates to the field of protection against unauthorized access to the resources of a computer system, and in particular to methods and devices for detecting remote attacks on subscribers of computer networks carried out by means of network connections, in particular, in global computer networks, and protection against such actions.
Настоящее описание предполагает общее знакомство с понятиями, протоколами и устройствами, используемыми в прикладных программах работы с компьютерными сетями. The present description assumes a general familiarity with the concepts, protocols, and devices used in computer networking applications.
Известно значительное количество способов и устройств по защите информации в вычислительных системах различного назначения, основанных на ограничении доступа к информации различного уровня конфиденциальности: использование паролей при входе в систему, блокировки отдельных областей памяти, применение средств криптографической защиты, подавления побочного электромагнитного излучения вычислительных устройств и каналов передачи информации. There are a significant number of methods and devices for protecting information in computing systems for various purposes, based on restricting access to information of various levels of confidentiality: using passwords when entering the system, blocking certain memory areas, using cryptographic protection tools, suppressing spurious electromagnetic radiation from computing devices and channels information transfer.
Известны атаки, основанные на подборе пароля, описание способов обнаружения таких атак и путей защиты от них приведено в книге [5. Дэвид Стенг, Сильвия Мун, "Секреты безопасности сетей", Киев, "Диалектика", 1996]. Known attacks based on password selection, a description of how to detect such attacks and ways to protect against them is given in the book [5. David Steng, Sylvia Moon, "Secrets of Network Security", Kiev, "Dialectics", 1996].
Сетевые системы характерны тем, что, наряду с обычными, локальными атаками, осуществляемыми в пределах одной компьютерной системы, к ним применим специфический вид атак, обусловленный распределенностью ресурсов и информации в пространстве. Это так называемые сетевые, или удаленные, атаки. Под удаленной атакой на компьютерную систему здесь подразумевается информационное разрушающее воздействие на распределенную вычислительную систему (РВС), программно осуществляемое по каналам связи одним или группой людей, имеющих злой умысел. При этом часто бывает невозможно различить преднамеренные и случайные действия, и хорошая система защиты должна адекватно реагировать на любые из них. Network systems are characterized by the fact that, along with conventional, local attacks carried out within the same computer system, a specific type of attack is applicable to them, due to the distribution of resources and information in space. These are the so-called network or remote attacks. By remote attack on a computer system here is meant the information destructive effect on a distributed computing system (RVS), programmatically carried out through communication channels by one or a group of people who have malicious intent. However, it is often impossible to distinguish between deliberate and random actions, and a good defense system must adequately respond to any of them.
Недостаточная защищенность наиболее распространенных операционных систем РВС и протоколов связи дает возможности осуществления различных видов удаленных атак на РВС, различающихся механизмами реализации, характерами и целями воздействия. Предварительным этапом удаленных атак обычно служит анализ сетевого трафика, то есть потока информационного обмена, который позволяет изучить логику работы распределенной вычислительной системы. Получение информации об РВС достигается злоумышленником путем перехвата и анализа передаваемых данных. Возможность перехвата данных существует вследствие того, что компоненты любой сетевой системы распределены в пространстве и связь между ними физически осуществляется при помощи сетевых соединений, для которых используются коаксиальный кабель, витая пара, оптоволокно и т.п. Insufficient security of the most common RVS operating systems and communication protocols makes it possible to carry out various types of remote attacks on RVS, which differ in implementation mechanisms, nature and purpose of the impact. The preliminary stage of remote attacks is usually the analysis of network traffic, that is, the flow of information exchange, which allows you to study the logic of the distributed computing system. Obtaining information about the RVS is achieved by an attacker by intercepting and analyzing the transmitted data. The possibility of interception of data exists due to the fact that the components of any network system are distributed in space and communication between them is physically carried out using network connections for which a coaxial cable, twisted pair cable, optical fiber, etc. are used.
Удаленные атаки осуществляются программно, при помощи механизмов сообщений. Известные разновидности удаленных атак и способы защиты от них описаны, например, в книге: И. Медведовский, П. Семьянов, В. Платонов "Атака через Internet", Санкт-Петербург, НПО "Мир и семья - 95", 1997. Remote attacks are carried out programmatically using message mechanisms. Known varieties of remote attacks and methods of protection against them are described, for example, in the book: I. Medvedovsky, P. Semenov, V. Platonov "Attack through the Internet", St. Petersburg, NGO "Peace and Family - 95", 1997.
Удаленная атака, вызывающая отказ в обслуживании, позволяет нарушить на атакованном объекте работоспособность соответствующей службы предоставления удаленного доступа либо телекоммуникационной службы, т.е. сделать невозможным получение удаленного доступа с других объектов. Отказ в обслуживании достигается путем передачи атакуемому абоненту возможно большего числа запросов на подключение от имени других абонентов, либо путем передачи с одного адреса такого количества запросов, какое позволит трафик. A remote attack causing a denial of service allows disrupting the operability of the corresponding remote access service or telecommunication service at the attacked site, i.e. make it impossible to obtain remote access from other objects. Denial of service is achieved by transmitting to the attacked subscriber the largest possible number of connection requests on behalf of other subscribers, or by transmitting from one address as many requests as traffic allows.
Опасной разновидностью удаленных атак является подмена абонента компьютерной сети, которая строится на передаче сообщений от обманно присвоенного имени произвольного абонента этой сети. Подмена абонента компьютерной сети может обеспечить несанкционированный доступ к ресурсам атакуемого абонента, если подменяемый абонент является для атакуемого доверенным объектом взаимодействия. Атака путем подмены абонента компьютерной сети может осуществляться как во время сеанса сетевого соединения между атакуемым и подменяемым абонентом, так и с помощью посылки запроса атакуемому абоненту на установление соединения от имени подменяемого абонента. Особенность такой атаки состоит в том, что атакующий имеет с атакуемым лишь одностороннюю связь, так как ответы атакуемого адресованы подменяемому абоненту. Поскольку вмешательство подменяемого абонента может помешать достижению целей атаки, подмену абонента компьютерной сети обычно сочетают с одновременным проведением атаки, вызывающей отказ в обслуживании подменяемого абонента. A dangerous variety of remote attacks is the substitution of a computer network subscriber, which is based on the transmission of messages from a fraudulently assigned name of an arbitrary subscriber to this network. Substitution of a computer network subscriber can provide unauthorized access to the resources of the attacked subscriber if the replaced subscriber is a trusted interaction object for the attacked. An attack by substituting a computer network subscriber can be carried out both during a network connection session between the attacked and the replaced subscriber, and by sending a request to the attacked subscriber to establish a connection on behalf of the replaced subscriber. The peculiarity of such an attack is that the attacker has only one-way communication with the attacked, since the answers of the attacked are addressed to the fake subscriber. Since the intervention of the substitute subscriber can interfere with the achievement of the objectives of the attack, substitution of the subscriber of the computer network is usually combined with the simultaneous conduct of an attack causing a denial of service of the substitute subscriber.
Настоящее изобретение предлагает способ для обнаружения удаленных атак, основанных на подмене абонента компьютерной сети. The present invention provides a method for detecting remote attacks based on the substitution of a computer network subscriber.
Наиболее близким к предложенному изобретению является описанное в патенте US 5796942, касающееся системы сетевого наблюдения. Closest to the proposed invention is described in patent US 5796942 regarding network surveillance systems.
Эта система, предназначенная для наблюдения за компьютерной сетью независимо от сетевого сервера, содержит:
сетевой драйвер для сбора данных в сети, которые не обязательно адресованы системе сетевого наблюдения;
управляющий процесс для получения данных от сетевого драйвера и хранения указанных данных в реальном времени;
множество файлов записи для получения и хранения данных до последующей обработки;
процесс сканирования, для которого один из указанного множества файлов записи назначается в качестве получающего файла для чтении данных других файлов из множества файлов записи и для использования указанных данных, чтобы воссоздать множество потоков данных в сеансах сетевых соединений, причем указанные потоки данных в сетевых соединениях обеспечивают последовательную реконструкцию сетевого трафика данных в сеансе сетевого соединения;
сканер сеанса для чтения данных в интервале одного из указанного множества сеансов сетевых соединений;
набор правил выявления стереотипов данных, которые, будучи обнаружены, вызовут включение сигнала тревоги;
средства для определенных ответных действий в случае выявления данных, соответствующих заданным правилам.This system, designed to monitor a computer network independently of a network server, contains:
a network driver for collecting data on a network that is not necessarily addressed to a network surveillance system;
a control process for receiving data from a network driver and storing said data in real time;
many recording files for receiving and storing data before further processing;
a scanning process for which one of said plurality of recording files is designated as a receiving file for reading data of other files from the plurality of recording files and for using said data to recreate a plurality of data streams in network connection sessions, said data streams in network connections providing sequential reconstruction of network data traffic in a network connection session;
a session scanner for reading data in the interval of one of the specified set of network connection sessions;
a set of rules for identifying data stereotypes that, when detected, will trigger an alarm;
means for a specific response in the event of the identification of data that meets the given rules.
Система для наблюдения за компьютерной сетью, характеризуемая приведенной выше формулой изобретения по патенту US 5796942, ориентирована на тотальный контроль сетевого трафика данных в локальных вычислительных сетях, в первую очередь - для наблюдения за поведением легальных пользователей этих сетей и выявления попыток несанкционированного доступа к ресурсам РВС с их стороны. Такая система, требует для своей реализации высокопроизводительного вычислительного комплекса с несколькими процессорами, работающими на частотах 233 - 500 МГц. В целях обнаружения попыток несанкционированного доступа к ресурсам абонентов компьютерной сети система обеспечивает реконструкцию потоков данных, передаваемых в сеансах сетевых соединений, и последовательное чтение данных, передаваемых в различных сеансах, причем проверке в соответствии с набором правил, выполняемой для выявления попыток несанкционированного доступа к ресурсам абонентов, подвергаются непосредственно сами передаваемые данные. Хотя данная система обеспечивает сбор данных в реальном времени, однако затем, при последовательном анализе множества сеансов сетевых соединений обнаружение несанкционированных действий в контролируемой компьютерной сети происходит с неминуемым опозданием по отношению к началу таких действий. Во многих случаях, опоздание с принятием мер по пресечению несанкционированных действий может приводить к непоправимому ущербу и делать защиту малоэффективной. The system for monitoring a computer network, characterized by the above patent claims US Pat. their side. Such a system requires a high-performance computing complex with several processors operating at frequencies of 233 - 500 MHz for its implementation. In order to detect attempts of unauthorized access to the resources of subscribers of a computer network, the system provides reconstruction of data streams transmitted in sessions of network connections, and sequential reading of data transmitted in various sessions, and checks in accordance with a set of rules performed to detect attempts of unauthorized access to resources of subscribers directly transmitted data itself. Although this system provides real-time data collection, however, when sequentially analyzing multiple network connection sessions, the detection of unauthorized actions in a controlled computer network is inevitable late with respect to the beginning of such actions. In many cases, being late in taking measures to prevent unauthorized actions can lead to irreparable damage and render protection ineffective.
В основу настоящего изобретения положена задача создать простой способ, минимальными средствами обеспечивающий обнаружение в реальном времени попыток несанкционированного доступа к ресурсам абонента компьютерной сети, в частности сети Интернет, осуществляемых средствами удаленного соединения и основанных на действиях от обманно присвоенного имени другого абонента этой компьютерной сети. The present invention is based on the task of creating a simple method that minimally detects real-time attempts to unauthorized access to the resources of a computer network subscriber, in particular the Internet, carried out by means of remote connection and based on actions from a fraudulently assigned name of another subscriber of this computer network.
Поставленная задача решается тем, что в способе обнаружения попыток несанкционированного доступа к ресурсам абонента компьютерной сети, осуществляемых средствами удаленного сетевого соединения, в котором проводят наблюдение за трафиком поступающих абоненту пакетов данных, выполняют проверку по заданным правилам и подают сигнал для принятия мер защиты от несанкционированного доступа, когда проверка выявляет соответствие указанным правилам, согласно изобретению для обнаружения попыток несанкционированного доступа к ресурсам абонента компьютерной сети, в которой связь между абонентами осуществляется путем передачи пакетов данных в соответствии протоколом TCP, производимых от обманно присвоенного имени другого абонента указанной сети, проводят наблюдение за трафиком адресованных абоненту пакетов данных, включающее постоянно возобновляемый подсчет числа пакетов, выполняемый в пределах серии пакетов, поступающих подряд друг за другом через промежутки времени не более заданного, при этом проверку поступающих пакетов данных на соответствие заданным правилам выполняют каждый раз, когда размер очередной наблюдаемой серии пакетов достигает критического числа пакетов. The problem is solved in that in the method for detecting attempts of unauthorized access to the resources of a computer network subscriber, carried out by means of a remote network connection, in which the traffic of data packets arriving to the subscriber is monitored, they are checked according to the given rules and give a signal for taking measures of protection against unauthorized access when the check reveals compliance with the specified rules, according to the invention for detecting attempts of unauthorized access to resources that computer network in which communication between subscribers is carried out by transmitting data packets in accordance with the TCP protocol produced from a fraudulently assigned name of another subscriber to the specified network, monitor the traffic of data packets addressed to the subscriber, including constantly renewed counting of the number of packets performed within a series of packets arriving successively one after another at intervals of no more than a given, while checking the incoming data packets for compliance with the specified rules yayut every time when the size of the next series of observed packet reaches the critical number of packets.
Способ предназначен для обеспечения защиты абонента путем предупреждения о попытке атаки путем подмены абонента компьютерной сети и основан на анализе необходимых условий для установления ложного соединения от имени подменяемого абонента, преимущественно, в сети Интернет. The method is intended to provide protection for the subscriber by warning of an attempted attack by substituting a subscriber for a computer network and is based on an analysis of the necessary conditions for establishing a false connection on behalf of a substitute subscriber, mainly on the Internet.
Для того, чтобы ложные пакеты сообщения, посылаемые атакующим атакуемому абоненту, были восприняты последним как посланные подменяемым абонентом, необходимо, чтобы эти пакеты имели определенные значения их идентификационных параметров, используемых в протоколе связи TCP. Эти значения могут быть известны атакующему лишь с некоторым приближением, зависящим от вида операционной системы атакуемого абонента и количества узлов компьютерной сети, через которые пакеты данных, посылаемые атакующим, достигают атакуемого абонента. Поэтому для подбора идентификационных параметров атакующий вынужден посылать атакуемому вместо одного пакета серию пакетов с различными значениями идентификационных параметров. In order for the false message packets sent by the attacking attacked subscriber to be interpreted by the latter as sent by the fake subscriber, it is necessary that these packets have certain values of their identification parameters used in the TCP communication protocol. These values can be known to the attacker only with some approximation, depending on the type of operating system of the attacked subscriber and the number of nodes of the computer network through which data packets sent by the attacker reach the attacked subscriber. Therefore, to select the identification parameters, the attacker is forced to send a series of packets with different values of the identification parameters instead of one packet to the attacker.
Потенциально опасными для защищаемого абонента компьютерной сети являются серии пакетов, следующих с малыми промежутками времени, так как вероятность успешного подбора идентификационных параметров падает с увеличением затрачиваемого на подбор времени. В связи с этим предложенный способ включает постоянное наблюдение за размером серий пакетов, поступающих с малыми промежутками времени. A series of packets following with small intervals of time are potentially dangerous for the protected subscriber of the computer network, since the probability of successful selection of identification parameters decreases with an increase in the time spent on selecting. In this regard, the proposed method includes constant monitoring of the size of the series of packets arriving at short intervals.
Критический размер серии, начиная с которого такая серия пакетов может обеспечить успешный подбор идентификационных параметров ложного пакета, может быть задан на основе результатов моделирования атаки, использующей подмену по меньшей мере одного из его доверенных объектов взаимодействия. The critical series size, starting from which such a series of packets can ensure the successful selection of false packet identification parameters, can be set based on the results of an attack simulation that uses the substitution of at least one of its trusted interaction objects.
Максимальную величину промежутка времени между соседними пакетами, относимыми к одной серии, предпочтительно задавать не менее времени, которое требуется абоненту на первичную обработку поступившего пакета. The maximum value of the time interval between adjacent packets belonging to the same series, it is preferable to set at least the time that the subscriber needs for the initial processing of the received packet.
Получение серии, размер которой достигает критического числа пакетов, служит сигналом для начала проверки поступающих пакетов. Такая проверка включает, например, формирование сигнала для принятия мер по защите от несанкционированного доступа, когда в пределах заданного интервала времени от достижения одной серией размера не менее критического числа пакетов обнаружена вторая серия, размер которой также достигает критического. Receiving a series whose size reaches a critical number of packets serves as a signal to begin checking incoming packets. Such a check includes, for example, the formation of a signal for taking measures to protect against unauthorized access, when, within a given time interval, from reaching one series of a size of at least a critical number of packets, a second series is detected, the size of which also reaches a critical one.
Целесообразно наблюдение за трафиком адресованных абоненту пакетов данных, включающее постоянно возобновляемый подсчет числа пакетов, выполняемый в пределах серии пакетов, поступающих подряд друг за другом через промежутки времени не более заданного, выполнять с помощью специализированного вычислительного устройства, обменивающегося сигналами с указанным абонентом. It is advisable to monitor the traffic of data packets addressed to the subscriber, including continuously renewed counting of the number of packets, performed within a series of packets arriving successively after each other at intervals of no more than a specified one, using a specialized computing device that exchanges signals with the specified subscriber.
Аппаратная реализация наблюдения за размером серий пакетов обеспечивает минимальное отвлечение ресурсов защищаемого компьютера на обнаружение атак. A hardware implementation of monitoring the size of a series of packets ensures minimal diversion of the protected computer's resources to detect attacks.
Предложенное изобретение далее рассмотрено на примере его предпочтительной реализации применительно к сети Интернет, со ссылками на чертежи, на которых:
Фиг. 1 изображает схему атаки, осуществляемой путем подмены абонента компьютерной сети.The proposed invention is further discussed on the example of its preferred implementation in relation to the Internet, with reference to the drawings, in which:
FIG. 1 shows a diagram of an attack carried out by changing a subscriber of a computer network.
Фиг. 2 изображает блок-схему устройства, реализующего наблюдение за размером серий поступающих защищаемому абоненту пакетов данных, при осуществлении способа обнаружения удаленных атак в компьютерной сети согласно настоящему изобретению. FIG. 2 depicts a block diagram of a device that monitors the size of a series of data packets arriving to a protected subscriber when implementing a method for detecting remote attacks in a computer network according to the present invention.
Фиг. 3 изображает блок-схему алгоритма проверки поступающих защищаемому абоненту пакетов данных, выполняемого при осуществлении способа обнаружения удаленных атак в компьютерной сети согласно настоящему изобретению, если наблюдение с помощью устройства, изображаемого фиг. 2, выявило серию, имеющую размер не менее заданного числа пакетов. FIG. 3 depicts a flowchart of an algorithm for verifying data packets arriving to a protected subscriber that is performed by implementing a method for detecting remote attacks in a computer network according to the present invention, if surveillance is performed using the device depicted in FIG. 2, revealed a series having a size of at least a given number of packets.
Фиг. 4 изображает временные диаграммы работы устройства, изображаемого фиг. 2, и действий при выполнении алгоритма, изображаемого фиг. 3. FIG. 4 is a timing diagram of the operation of the device of FIG. 2, and actions when executing the algorithm depicted in FIG. 3.
В сети Интернет базовым протоколом транспортного уровня является протокол TCP. В соответствии с протоколом TCP информация по компьютерной сети передается в виде пакетов фиксированной величины. Протокол TCP позволяет исправлять ошибки, которые могут возникнуть в процессе передачи пакетов, и является протоколом с установлением логического соединения - виртуального канала. По этому каналу передаются и принимаются пакеты с регистрацией их последовательности, осуществляется управление потоком пакетов, организовывается повторная передача искаженных пакетов, а в конце сеанса канал разрывается. При этом протокол TCP является протоколом, имеющим дополнительную систему идентификации сообщений и соединения. Протоколы прикладного уровня, предоставляющие пользователям удаленный доступ к другим абонентам сети Интернет, реализованы на базе протокола TCP. On the Internet, the basic transport layer protocol is TCP. In accordance with the TCP protocol, information on a computer network is transmitted in the form of packets of a fixed value. The TCP protocol allows you to correct errors that may occur during the transmission of packets, and is a protocol with the establishment of a logical connection - a virtual channel. Packets are transmitted and received on this channel with registration of their sequence, packet flow is controlled, retransmission of distorted packets is organized, and at the end of the session the channel is broken. At the same time, TCP is a protocol that has an additional message identification and connection system. Application layer protocols that provide users with remote access to other Internet subscribers are implemented on the basis of the TCP protocol.
TCP-пакет имеет заголовок, содержащий два идентификационных параметра пакета, представляющие собой 32-разрядные двоичные числа. Значения первого и второго идентификационных параметров пакета выполняют функцию текущих номеров, назначенных данному пакету, соответственно, его отправителем и получателем. Пара текущих номеров пакета указывает место данного пакета в последовательности пакетов, передаваемых в сеансе соединения. Кроме этого, TCP-заголовок содержит команды для абонента, которому предназначен пакет, а также его адрес. A TCP packet has a header that contains two packet identification parameters, which are 32-bit binary numbers. The values of the first and second identification parameters of the packet perform the function of the current numbers assigned to this packet, respectively, by its sender and recipient. A pair of current packet numbers indicates the location of a given packet in the sequence of packets transmitted in a connection session. In addition, the TCP header contains commands for the subscriber to whom the packet is intended, as well as its address.
Установление TCP-соединения между двумя абонентами сети Интернет, если инициатива принадлежит первому из них, осуществляется в следующем порядке. Establishing a TCP connection between two Internet subscribers, if the initiative belongs to the first of them, is carried out in the following order.
Первый абонент посылает в адрес второго абонента пакет, заголовок которого содержит значение первого идентификационного параметра, представляющее собой заданный первым абонентом начальный номер в последовательности текущих номеров пакетов данного сеанса соединения. The first subscriber sends a packet to the address of the second subscriber, the header of which contains the value of the first identification parameter, which is the initial number specified by the first subscriber in the sequence of the current packet numbers of this connection session.
Второй абонент отвечает первому посылкой второго пакета сеанса, заголовок которого содержит значение первого идентификационного параметра, представляющее собой присвоенный этому пакету вторым абонентом начальный номер, и значение второго - равное увеличенному на единицу значению начального номера, содержавшемуся в первом пакете сеанса, полученном от первого абонента. The second subscriber responds with the first sending of the second session packet, the header of which contains the value of the first identification parameter, which is the initial number assigned to this packet by the second subscriber, and the value of the second is equal to the unit value of the initial number contained in the first session packet received from the first subscriber.
Установление соединения заканчивается отправкой первым абонентом второму еще одного пакета, содержащего увеличенные на единицу значения обоих начальных номеров второго пакета сеанса. Establishment of the connection ends with the sending by the first subscriber to the second of another packet containing the values of both starting numbers of the second session packet increased by one.
С момента установления соединения первый абонент может посылать второму абоненту пакеты, содержащие данные. Каждый пакет, поступивший во время сеанса соединения его участнику, будет им интерпретирован как очередной пакет данного сеанса, если этот пакет имеет текущие номера, превосходящие на единицу значения текущих номеров предыдущего пакета, в противном случае полученный пакет будет отброшен как ошибочный. From the moment the connection is established, the first subscriber can send packets containing data to the second subscriber. Each packet arriving to the participant during the connection session will be interpreted by him as the next packet of this session if this packet has current numbers that are one higher than the current numbers of the previous packet, otherwise the received packet will be discarded as erroneous.
Причиной уязвимости для атак, основанных на подмене абонента, является несовершенство принципов формирования начальных номеров пакетов сеанса, заложенных в наиболее распространенных операционных системах (ОС), используемых абонентами сети Интернет. В большинстве операционных систем применяется времязависимый алгоритм генерации начального номера пакета TCP-соединения. Например, в ОС Windows NT 4.0 это значение увеличивается приблизительно на 10 каждую миллисекунду. The reason for the vulnerability for attacks based on the substitution of a subscriber is the imperfection of the principles of forming the initial numbers of session packets embedded in the most common operating systems (OS) used by Internet subscribers. Most operating systems use a time-dependent algorithm for generating the initial packet number of a TCP connection. For example, in Windows NT 4.0, this value increases by approximately 10 every millisecond.
Это дает злоумышленнику возможность приближенно определить вид функции, в соответствии с которой генерируется начальное значение идентификатора пакета. Для исследования ОС абонента сети Интернет злоумышленнику, также являющемуся абонентом этой сети, требуется послать указанному абоненту последовательность обычных запросов на создание TCP-соединения и принять соответствующее количество ответных пакетов, имеющих начальные номера, назначенные исследуемой ОС в каждый момент времени. При этом замеряются временные промежутки между запросом и ответом на него и время, прошедшее между запросами. Как понятно специалисту в численных математических методах, в результате такого исследования может быть построена эмпирическая временная зависимость начального номера, генерируемого исследуемой ОС, позволяющая прогнозировать его значение в виде интервальной оценки. Например, в случае нахождения злоумышленника в одном сегменте сети с выбранным мишенью атаки абонентом, подобная методика позволяет на коротком промежутке времени экстраполировать значение начального номера для ОС Windows NT - с точностью до 10, а для ОС Linux 1.2.8 - с точностью примерно до 100. This allows the attacker to approximately determine the type of function according to which the initial value of the packet identifier is generated. To investigate the OS of a subscriber of the Internet, an attacker who is also a subscriber of this network needs to send a specified subscriber a sequence of ordinary requests to create a TCP connection and receive the corresponding number of response packets having the start numbers assigned to the OS under study at each time point. At the same time, the time intervals between the request and the response to it and the time elapsed between requests are measured. As it is clear to a specialist in numerical mathematical methods, as a result of such a study, an empirical time dependence of the initial number generated by the OS under study can be constructed, which allows predicting its value in the form of an interval estimate. For example, if an attacker is in the same network segment with the selected attack target as a subscriber, this technique allows for a short period of time to extrapolate the initial number for Windows NT - with an accuracy of 10, and for Linux 1.2.8 - with an accuracy of about 100 .
Таким образом, предварительное исследование ОС абонента сети Интернет обеспечивает реальную возможность подбора текущих номеров пакета для подмены абонента компьютерной сети. Thus, a preliminary study of the OS of the Internet subscriber provides a real opportunity to select the current package numbers for replacing the subscriber of the computer network.
Значительную опасность вследствие наилучших условий для атаки представляет подмена доверенного абонента, имеющего упрощенный режим доступа, без проверки пароля, используемый в некоторых распространенных ОС, например, в ОС UNIX. Significant danger due to the best conditions for an attack is the substitution of a trusted subscriber with a simplified access mode without password verification, which is used in some common operating systems, for example, in UNIX OS.
Схему атаки, основанной на подмене абонента иллюстрирует фиг. 1. The attack scheme based on the substitution of a subscriber is illustrated in FIG. 1.
На фиг. 1 изображены подменяемый абонент 1, абонент 2, являющийся объектом атаки, и атакующий злоумышленник 3. In FIG. 1 shows a fake subscriber 1,
Атакующий 3 посылает абоненту 2 пакет, содержащий запрос на установление соединения от имени подменяемого абонента 1. Этот пакет, содержащий начальный номер N03, который задан атакующим 3, через некоторое время достигает абонента 1. Абонент 2, в соответствии с процедурой установления соединения по протоколу TCP, отвечает на полученный пакет запроса пакетом подтверждения, содержащим первый текущий номер, равный начальному номеру, заданному абонентом 2, N2=N02, и второй текущий номер, равный увеличенному на единицу начальному номеру из пакета запроса, N3=N03+1. Attacker 3 sends to subscriber 2 a packet containing a request to establish a connection on behalf of the fake subscriber 1. This packet containing the starting number N03, which is assigned by attacker 3, after a while reaches subscriber 1.
Существенной особенностью атаки, основанной на подмене абонента, является то, что атакующий 3 не получает ответов от атакуемого абонента 2, так как все пакеты, посылаемые атакуемым абонентом 2 в ответ на ложные пакеты атакующего 3, адресованы подменяемому абоненту 1. Вмешательство абонента 1 в ответ на подтверждение соединения, которое абонент 1 не запрашивал, помешает продолжению атаки. Поэтому, в данной схеме атаки, атакующему 3 необходимо одновременно атаковать абонента 1, например, серией запросов на установление соединения, чтобы создать у него отказ в обслуживании на время атаки. A significant feature of the attack based on the substitution of the subscriber is that the attacker 3 does not receive responses from the attacked
Для завершения установления ложного соединения атакующий 3 должен послать абоненту 2 пакет, имеющий верные значения обоих текущих номеров. Один из этих номеров, N3, известен атакующему 3, так как формируется из заданного им самим начального номера пакета запроса. Атакующему 3 из предварительного исследования может быть известен также интервал, в пределах которого с заданной вероятностью находится значение начального номера N02. Однако атакующий 3 может руководствоваться лишь оценкой начального номера N02, так как момент получения от него абонентом 2 ложного пакета запроса и, соответственно, момент присвоения абонентом 2 начального номера N02 пакету подтверждения, зависят от задержки пересылки пакета по сети Интернет. Эта задержка случайным образом может изменяться в пределах от единиц миллисекунд до одной секунды в зависимости от загрузки участка сети между атакующим 3 и абонентом 2 в момент отправки пакета запроса. Поэтому атакующий 3, для завершения установления ложного соединения, вынужден вместо одного пакета послать атакуемому абоненту 2 серию пакетов, обеспечивающую перебор значений начального номера N02 в определенном атакующим 3 интервале. Величина промежутков времени следования пакетов в серии определяет общую продолжительность серии, а поскольку ошибка экстраполяции начального номера N02 пропорциональна интервалу экстраполяции, то чем больше промежутки времени следования пакетов в серии, тем больше требуется размер серии. To complete the establishment of a false connection, the attacker 3 must send to the subscriber 2 a packet that has the correct values of both current numbers. One of these numbers, N3, is known to attacker 3, since it is formed from the initial number of the request packet specified by himself. The attacker 3 from the preliminary investigation may also know the interval within which, with a given probability, is the value of the initial number N02. However, the attacker 3 can only be guided by the evaluation of the starting number N02, since the
Проведенные авторами расчеты показывают, что вероятность успешной атаки падает при увеличении промежутков времени следования пакетов в серии, поэтому выгодной для злоумышленника стратегией является посылка серий с минимальными промежутками времени между пакетами. The calculations performed by the authors show that the probability of a successful attack decreases with an increase in the time intervals for packets to follow in a series, therefore sending a series with minimal time intervals between packets is an advantageous strategy for an attacker.
Вторая серия пакетов, каждый из которых может содержать команды для получения в дальнейшем доступа к ресурсам абонента 2, должна быть послана атакующим 3 с интервалом времени по отношению к предыдущей серии, выбранным так, чтобы с высокой вероятностью, при случайной задержке передачи по сети, пакет второй серии с правильным значением текущего номера N2=N02+1 достиг абонента 2 после получения им пакета с начальным номером N02 из первой серии пакетов, так как в противном случае атака сорвется. Это означает, что на стороне абонента 2 следующие друг за другом серии пакетов, как правило, не должны перекрываться, то есть разделены интервалом, превышающим промежутки времени между пакетами серии. The second series of packets, each of which may contain commands for gaining further access to the resources of
Атака возможна также во время сеанса соединения между двумя абонентами сети Интернет путем попытки подмены одного из участников соединения. В этом случае, даже если соединение между абонентами устанавливается с помощью пароля, злоумышленнику не требуется знание пароля, поскольку, после того как соединение установлено, пароль уже не используется участниками соединения. An attack is also possible during a connection between two Internet subscribers by trying to replace one of the participants in the connection. In this case, even if the connection between the subscribers is established using a password, the attacker does not need to know the password, because after the connection is established, the password is no longer used by the participants in the connection.
Атака во время сеанса соединения между абонентами 1 и 2 может проводиться в основном также, как при описанном выше установлении ложного соединения, и также требует создания отказа в обслуживании подменяемого абонента 1. Основное отличие состоит в том, что атака во время сеанса соединения требует подбора обоих текущих номеров, соответственно, N1 и N2, для ложного пакета. При этом размер серий посылаемых пакетов увеличивается в квадрате по отношению к размеру серий, необходимому при установлении ложного соединения. То есть, наибольшую опасность представляет попытка установлении ложного соединения от имени другого абонента, так как при этом требуется минимальный размер серий пакетов, который в наиболее благоприятных для злоумышленника условиях может не превышать нескольких десятков. An attack during a connection session between
Таким образом, атака на абонента компьютерной сети в любом случае характеризуется поступлением этому абоненту с некоторым интервалом по меньшей мере двух серий пакетов, в которых пакеты следуют с малыми промежутками времени. Thus, an attack on a subscriber of a computer network is in any case characterized by the arrival of at least two series of packets in this subscriber, in which packets follow at short intervals.
Согласно настоящему изобретению, способ обнаружения попыток несанкционированного доступа к ресурсам абонента компьютерной сети включает две фазы: первую - постоянное наблюдение за размером поступающих защищаемому абоненту серий TCP-пакетов, в которых пакеты следуют с промежутками времени не более заданного, и вторую - дальнейшую проверку для принятия решения, имеет ли место атака, если наблюдение выявило серию пакетов, размер которой превышает заданное число пакетов. According to the present invention, the method for detecting attempts of unauthorized access to the resources of a computer network subscriber includes two phases: the first is the constant monitoring of the size of the series of TCP packets arriving to the protected subscriber, in which the packets follow at intervals of no more than a specified one, and the second is a further check for acceptance decide whether an attack occurs if an observation reveals a series of packets that are larger than a given number of packets.
Если в качестве защищаемого абонента выступает персональный компьютер, то настоящее изобретение может быть реализовано полностью программно, то есть с помощью этих устройств, снабженных соответствующей вычислительной программой, которая будет выполняться центральными процессорами таких устройств. Однако предпочтительным является вариант аппаратной реализации наблюдения за размером серий пакетов и программной реализации фазы проверки, который, с одной стороны, обеспечивает минимальное отвлечение ресурсов защищаемого компьютера на обнаружение атак, и с другой стороны, допускает максимальную гибкость в использовании различных вариантов проверки. If the personal computer acts as the protected subscriber, the present invention can be implemented fully in software, that is, with the help of these devices equipped with the appropriate computing program that will be executed by the central processors of such devices. However, the preferred variant is the hardware implementation of monitoring the size of the series of packets and the software implementation of the verification phase, which, on the one hand, provides minimal diversion of resources of the protected computer to detect attacks, and on the other hand, allows maximum flexibility in the use of various scan options.
На фиг. 2 изображена блок-схема устройства 4, реализующего наблюдение за размером серий пакетов согласно настоящему изобретению. Устройство 4 изображено во взаимодействии с защищаемым компьютером, абонентом 2, через интерфейс 5, устройство которого, например, при подключении к общей шине компьютера, является очевидным специалисту в данной области техники и не имеет никаких особенностей, связанных с настоящим изобретением. In FIG. 2 is a block diagram of a device 4 that implements packet size monitoring according to the present invention. The device 4 is shown in interaction with the protected computer, the
От абонента 2 в устройство 4 через интерфейс 5 поступают цифровые коды натуральных чисел t0, заданной максимальной величины промежутка времени между соседними пакетами, относимыми к одной серии, и k0, заданного критического размера серии пакетов, обозначенные, соответственно, позициями 6 и 7; импульсы тактовой частоты внутреннего генератора абонента 2 - позиция 8; импульсы пакетов, соответствующие моментам окончания первичной обработки поступающих абоненту 2 TCP-пакетов - позиция 9; логический сигнал установки устройства 4 в исходное состояние - позиция 10. From
Обратно от устройства 4 абоненту 2 передаются логические переменные: позицией 11 обозначена переменная S, имеющая значение TRUE от момента, когда первый раз размер наблюдаемой серии достиг значения k0, до момента окончания этой серии, и значение FALSE вне этого промежутка времени; а также обозначенный позицией 12 сигнал логической переменной Flag, имеющей значение TRUE от момента окончания первой обнаруженной серии размера не менее k0 до получения от абонента 2 сигнала установки устройства 4 в исходное состояние, переменная Flag имеет значение FALSE вне этого промежутка времени. Logical variables are transferred back to
Импульсы тактовой частоты с выхода 8 интерфейса 5 поступают на счетный вход счетчика 13, играющего роль таймера для измерения промежутков времени следования пакетов. Счетчик 13 устанавливается в "0" каждым импульсом пакета с выхода 9 интерфейса 5. Таким образом, число tp в момент прихода очередного импульса пакета пропорционально промежутку времени между этим пакетом и предыдущим. Выходами разрядов счетчик 13 соединен с входами компаратора 14 кодов, выполняющего функцию устройства сравнения промежутка времени tp, подсчитанного счетчиком 13, с заданным значением to, которое заносится из интерфейса 5 в регистр 15 памяти, соединенный с компаратором 14. Pulses of the clock frequency from the output 8 of the
Через устройство 16, реализующее функцию логического "И", на счетный вход счетчика 17 пакетов поступают импульсы пакетов. Счетчик 17 подсчитывает число k пакетов, относящихся к текущей серии до тех пор пока значение tp в счетчике 13 не достигнет значения t0. При выполнении условия "tp равно t0" с выхода компаратора 14 на вход сброса счетчика 17 пакетов поступает логический сигнал установки в "0". Through the
Максимальную величину t0 промежутка времени между соседними пакетами, относимыми к одной серии, предпочтительно задавать равной времени, которое требуется защищаемому абоненту компьютерной сети на первичную обработку поступившего пакета, например, 3 мсек. Как правило, пропускная способность сетевого интерфейса, через который абонент подключен к компьютерной сети, имеет запас, обеспечивающий работу сетевого интерфейса без его переполнения при обычном трафике передаваемых сообщений. Факт возрастания потока поступающих пакетов до величины, превышающей пропускную способность сетевого интерфейса используется в настоящем способе как предварительное указание на возможную атаку. It is preferable to set the maximum value t0 of the time interval between adjacent packets belonging to the same series equal to the time that the protected subscriber of the computer network needs for the initial processing of the received packet, for example, 3 ms. As a rule, the bandwidth of the network interface through which the subscriber is connected to the computer network has a margin that ensures the network interface works without overflowing during normal traffic of transmitted messages. The fact that the flow of incoming packets increases to a value exceeding the bandwidth of the network interface is used in this method as a preliminary indication of a possible attack.
Счетчик 17 соединен выходами разрядов с компаратором 18 кодов, в котором производится сравнение подсчитанного счетчиком 17 размера k серии с заданным критическим размером k0, значение которого заносится из интерфейса 5 в регистр 19 памяти, соединенный с компаратором 18. The
Логический сигнал на выходе компаратора 18 представляет логическую переменную S. Логический сигнал с выхода компаратора 18, подаваемый на инвертирующий вход устройства 16, прекращает подачу импульсов пакетов на счетчик 17 при выполнении условия "k равно k0". Фиксация значения k в счетчике 17 на уровне k0 вплоть до окончания текущей серии, если ее размер превышает k0, исключает переполнение счетчика 17 при длительной перегрузке сетевого интерфейса абонента 2. The logical signal at the output of the
Сигнал с выхода устройства 20, логического "И", устанавливает триггер 21 в состояние "1" при совпадении условий "tp равно t0" и "k равно k0". Выходной сигнал триггера 21 представляет собой логическую переменную Flag, содержащую информацию о получении серии TCP-пакетов с размером не менее заданного критического размера k0. Сброс триггера 21 осуществляется сигналом от абонента 2, передаваемым по выходу 10 интерфейса 5. The signal from the output of the
Таким образом, с помощью устройства 4 выполняется постоянное наблюдение за трафиком адресованных защищаемому абоненту пакетов данных, в процессе которого достигается обнаружение серий пакетов с размером не менее критического. Критический размер k0 серии может быть выбран минимальной величины, начиная с которой такая серия пакетов способна обеспечить успешную атаку. Например, если защищаемый абонент использует ОС WINDOWS NT 4.0, величина k0 может быть задана равной 10. Однако предпочтительным является выбор величины k0 на основе компромисса между чувствительностью способа при обнаружении атак и уровнем ложных тревог, определенным по результатам моделирования подмены по меньшей мере одного из доверенных объектов взаимодействия защищаемого абонента. Thus, with the help of device 4, traffic is continuously monitored for data packets addressed to the protected subscriber, during which detection of series of packets with a size of at least critical is achieved. The critical size k0 of the series can be chosen as the minimum value, starting from which such a series of packets is capable of ensuring a successful attack. For example, if the protected subscriber uses WINDOWS NT 4.0, the value of k0 can be set to 10. However, it is preferable to choose the value of k0 based on a compromise between the sensitivity of the method when detecting attacks and the level of false alarms, determined from the simulation of the substitution of at least one of the trusted objects of interaction of the protected subscriber.
Как было указано выше, предпочтительна программная реализация алгоритма проверки. As indicated above, a software implementation of the verification algorithm is preferred.
Фазу проверки поступающих защищаемому абоненту TCP-пакетов на предмет атаки иллюстрирует блок-схема алгоритма на фиг. 3. The phase of checking the incoming TCP packets to the protected subscriber for an attack is illustrated by the flowchart of FIG. 3.
Выполнение алгоритма начинается с операции 22 проверки значения логической переменной S. Опрос этого значения может производиться с интервалом времени, примерно равным длительности серии размером k0 без риска задержки обнаружения атаки. The algorithm begins with
Если S равно FALSE, выполняется операция 23 проверки значения логической переменной Flag, если и ее значение равно FALSE, то на этом цикл выполнения алгоритма заканчивается. If S is FALSE, the
Если одна из переменных S или Flag имеет значение TRUE, то выполняется операция 24 по проверке значения вспомогательной логической переменной R, используемой для однократного выполнения операции 25 занесения в память значения момента Ts, когда первая серия пакетов достигает размера k0, после операции 25 выполняется операция 26 назначения переменной R значения TRUE. При повторном выполнении операции 24, когда переменная R равна TRUE, выполняется операция 27, в которой производится сравнение разности между текущим моментом времени, к которому вторая серия пакетов достигла размера k0, и зафиксированным моментом Ts с заданным максимальным интервалом tm времени. Этот интервал может быть задан равным максимальному времени, устанавливаемому защищаемым абонентом для ожидания продолжения сеанса связи, обычно, несколько десятков секунд, по истечении которого связь разрывается абонентом в случае непоступления за это время очередного пакета от партнера по соединению. Если интервал времени между последовательно полученными сериями критического размера не превышает заданного, то выполняется операция 28 присвоения логической переменной Alarm значения TRUE, представляющей собой сигнал тревоги, по которому принимаются меры защиты от атаки.If one of the variables S or Flag has the value TRUE, then
Если условие операции 27 не выполняется, то осуществляется переход к операциям 29, 30 назначения переменным R и Flag значения FALSE. Последняя операция 30 осуществляется путем передачи сигнала сброса на триггер 21 через интерфейс 5 (фиг. 2)
На фиг. 4 изображен примерный вид временных диаграмм величин k, S, Flag, Alarm во время атаки.If the condition of
In FIG. 4 shows an exemplary view of time diagrams of k, S, Flag, Alarm values during an attack.
Возможно применение более сложных алгоритмов проверки. В частности, после обнаружения серии пакетов, имеющей размер более критического, может производиться дальнейшая оценка размера этой серии и использование различных мер защиты в зависимости от размеров серий. Проверка может включать также хранение в течение определенного времени сведений обо всех фактах получения серий критического размера, в том числе, не вызвавших непосредственно сигнала тревоги, для принятия на определенный период времени дополнительных защитных мер. Perhaps the use of more complex verification algorithms. In particular, after the discovery of a series of packets having a size that is more critical, a further assessment of the size of this series and the use of various protection measures depending on the size of the series can be made. The audit may also include storage for a certain time of information about all facts of obtaining a series of critical size, including those that did not directly trigger an alarm, for taking additional protective measures for a certain period of time.
В приведенном примере реализации настоящего изобретения под защищаемым абонентом подразумевался персональный компьютер. Однако это не налагает ограничений на вид защищаемого объекта, абонента компьютерной сети, в качестве такового может выступать, например, сервер локальной сети, подключенный к сети Интернет, или периферийное устройство. In the example implementation of the present invention, the protected subscriber was a personal computer. However, this does not impose restrictions on the type of protected object, a subscriber of a computer network, such as, for example, a LAN server connected to the Internet or a peripheral device.
Claims (4)
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
RU2000111077/09A RU2179738C2 (en) | 2000-04-24 | 2000-04-24 | Method for detecting remote attacks in computer network |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
RU2000111077/09A RU2179738C2 (en) | 2000-04-24 | 2000-04-24 | Method for detecting remote attacks in computer network |
Publications (2)
Publication Number | Publication Date |
---|---|
RU2179738C2 true RU2179738C2 (en) | 2002-02-20 |
RU2000111077A RU2000111077A (en) | 2003-07-20 |
Family
ID=20234190
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
RU2000111077/09A RU2179738C2 (en) | 2000-04-24 | 2000-04-24 | Method for detecting remote attacks in computer network |
Country Status (1)
Country | Link |
---|---|
RU (1) | RU2179738C2 (en) |
Cited By (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
RU2472211C1 (en) * | 2011-11-23 | 2013-01-10 | Федеральное государственное военное образовательное учреждение высшего профессионального образования "Военная академия связи имени маршала Советского Союза С.М. Буденного" Министерства обороны Российской Федерации | Method of protecting information computer networks from computer attacks |
RU2475836C1 (en) * | 2012-03-12 | 2013-02-20 | Федеральное государственное военное образовательное учреждение высшего профессионального образования "Военная академия связи имени маршала Советского Союза С.М. Буденного" Министерства обороны Российской Федерации | Method for protection of computer networks |
RU2506644C2 (en) * | 2012-03-12 | 2014-02-10 | Федеральное государственное военное образовательное учреждение высшего профессионального образования "Военный авиационный инженерный университет" (г.Воронеж) Министерства обороны Российской Федерации | Apparatus for detecting unauthorised actions on data telecommunication system |
RU2517164C2 (en) * | 2009-07-02 | 2014-05-27 | Абб Рисерч Лтд | METHOD OF LIMITING AMOUNT OF NETWORK TRAFFIC REACHING LOCAL NODE OPERATING ACCORDING TO INDUSTRIAL Ethernet PROTOCOL |
RU2628902C2 (en) * | 2011-09-12 | 2017-08-22 | МАЙКРОСОФТ ТЕКНОЛОДЖИ ЛАЙСЕНСИНГ, ЭлЭлСи | Coordination mechanism for cloud choice |
RU2642403C1 (en) * | 2016-04-26 | 2018-01-24 | Андрей Алексеевич Панкин | Method for protecting information and telecommunication network from passive computer attacks |
RU2649789C1 (en) * | 2017-07-17 | 2018-04-04 | федеральное государственное казенное военное образовательное учреждение высшего образования "Краснодарское высшее военное училище имени генерала армии С.М. Штеменко" Министерства обороны Российской Федерации | Method of computer networks protection |
RU2683631C1 (en) * | 2017-12-08 | 2019-03-29 | федеральное государственное казенное военное образовательное учреждение высшего образования "Военная академия связи имени Маршала Советского Союза С.М. Буденного" Министерства обороны Российской Федерации | Computer attacks detection method |
RU2689814C1 (en) * | 2018-09-28 | 2019-05-29 | Максим Валерьевич Шептунов | Method of monitoring the security of dynamic identification codes with their comparative evaluation and support for selection of the best |
-
2000
- 2000-04-24 RU RU2000111077/09A patent/RU2179738C2/en not_active IP Right Cessation
Cited By (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
RU2517164C2 (en) * | 2009-07-02 | 2014-05-27 | Абб Рисерч Лтд | METHOD OF LIMITING AMOUNT OF NETWORK TRAFFIC REACHING LOCAL NODE OPERATING ACCORDING TO INDUSTRIAL Ethernet PROTOCOL |
RU2628902C2 (en) * | 2011-09-12 | 2017-08-22 | МАЙКРОСОФТ ТЕКНОЛОДЖИ ЛАЙСЕНСИНГ, ЭлЭлСи | Coordination mechanism for cloud choice |
US9781205B2 (en) | 2011-09-12 | 2017-10-03 | Microsoft Technology Licensing, Llc | Coordination engine for cloud selection |
RU2472211C1 (en) * | 2011-11-23 | 2013-01-10 | Федеральное государственное военное образовательное учреждение высшего профессионального образования "Военная академия связи имени маршала Советского Союза С.М. Буденного" Министерства обороны Российской Федерации | Method of protecting information computer networks from computer attacks |
RU2475836C1 (en) * | 2012-03-12 | 2013-02-20 | Федеральное государственное военное образовательное учреждение высшего профессионального образования "Военная академия связи имени маршала Советского Союза С.М. Буденного" Министерства обороны Российской Федерации | Method for protection of computer networks |
RU2506644C2 (en) * | 2012-03-12 | 2014-02-10 | Федеральное государственное военное образовательное учреждение высшего профессионального образования "Военный авиационный инженерный университет" (г.Воронеж) Министерства обороны Российской Федерации | Apparatus for detecting unauthorised actions on data telecommunication system |
RU2642403C1 (en) * | 2016-04-26 | 2018-01-24 | Андрей Алексеевич Панкин | Method for protecting information and telecommunication network from passive computer attacks |
RU2649789C1 (en) * | 2017-07-17 | 2018-04-04 | федеральное государственное казенное военное образовательное учреждение высшего образования "Краснодарское высшее военное училище имени генерала армии С.М. Штеменко" Министерства обороны Российской Федерации | Method of computer networks protection |
RU2683631C1 (en) * | 2017-12-08 | 2019-03-29 | федеральное государственное казенное военное образовательное учреждение высшего образования "Военная академия связи имени Маршала Советского Союза С.М. Буденного" Министерства обороны Российской Федерации | Computer attacks detection method |
RU2689814C1 (en) * | 2018-09-28 | 2019-05-29 | Максим Валерьевич Шептунов | Method of monitoring the security of dynamic identification codes with their comparative evaluation and support for selection of the best |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US7711790B1 (en) | Securing an accessible computer system | |
KR101369727B1 (en) | Apparatus and method for controlling traffic based on captcha | |
Bellovin | Defending against sequence number attacks | |
US8819769B1 (en) | Managing user access with mobile device posture | |
KR101217647B1 (en) | Method and apparatus for defending against denial of service attacks in IP networks based on specified source/destination IP address pairs | |
US8181237B2 (en) | Method for improving security of computer networks | |
US20100235879A1 (en) | Systems, methods, and media for enforcing a security policy in a network including a plurality of components | |
CN109327426A (en) | A kind of firewall attack defense method | |
CN101390064A (en) | Preventing network reset denial of service attacks using embedded authentication information | |
US20120324573A1 (en) | Method for determining whether or not specific network session is under denial-of-service attack and method for the same | |
RU2179738C2 (en) | Method for detecting remote attacks in computer network | |
CN109743294A (en) | Interface access control method, device, computer equipment and storage medium | |
WO2005104476A1 (en) | Self-propagating program detector apparatus, method, signals and medium | |
CN111314381A (en) | Safety isolation gateway | |
CN108183921A (en) | The system and method that information security threat interruption is carried out via borde gateway | |
Daniels et al. | Identification of host audit data to detect attacks on low-level IP vulnerabilities | |
CN110266673A (en) | Security strategy optimized treatment method and device based on big data | |
CN111740982B (en) | Server anti-attack method and system based on computing power certification | |
CN108667829A (en) | A kind of means of defence of network attack, device and storage medium | |
KR101020470B1 (en) | Methods and apparatus for blocking network intrusion | |
RU2628913C1 (en) | Method of detecting remote attacks on automated control systems | |
RU2684575C1 (en) | METHOD FOR CONTROL OF DISTRIBUTED INFORMATION SYSTEM DATA STREAMS IN DDoS ATTACKS | |
RU2267154C1 (en) | Method for controlling information streams in digital communication networks | |
CN109617893B (en) | Method and device for preventing botnet DDoS attack and storage medium | |
RU2261472C1 (en) | Method for monitoring safety of automated systems |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
MM4A | The patent is invalid due to non-payment of fees |
Effective date: 20040425 |