RU2472211C1 - Method of protecting information computer networks from computer attacks - Google Patents

Method of protecting information computer networks from computer attacks Download PDF

Info

Publication number
RU2472211C1
RU2472211C1 RU2011147613/08A RU2011147613A RU2472211C1 RU 2472211 C1 RU2472211 C1 RU 2472211C1 RU 2011147613/08 A RU2011147613/08 A RU 2011147613/08A RU 2011147613 A RU2011147613 A RU 2011147613A RU 2472211 C1 RU2472211 C1 RU 2472211C1
Authority
RU
Russia
Prior art keywords
packet
address
values
computer
options
Prior art date
Application number
RU2011147613/08A
Other languages
Russian (ru)
Inventor
Владимир Игоревич Андрианов
Владимир Владимирович Бухарин
Александр Владимирович Кирьянов
Валерий Алексеевич Липатников
Игорь Юрьевич Санин
Дмитрий Владимирович Сахаров
Юрий Иванович Стародубцев
Original Assignee
Федеральное государственное военное образовательное учреждение высшего профессионального образования "Военная академия связи имени маршала Советского Союза С.М. Буденного" Министерства обороны Российской Федерации
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Федеральное государственное военное образовательное учреждение высшего профессионального образования "Военная академия связи имени маршала Советского Союза С.М. Буденного" Министерства обороны Российской Федерации filed Critical Федеральное государственное военное образовательное учреждение высшего профессионального образования "Военная академия связи имени маршала Советского Союза С.М. Буденного" Министерства обороны Российской Федерации
Priority to RU2011147613/08A priority Critical patent/RU2472211C1/en
Application granted granted Critical
Publication of RU2472211C1 publication Critical patent/RU2472211C1/en

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

FIELD: information technology.
SUBSTANCE: method involves forming an array for storing fragmented message packets and arrays for storing parameters from the stored message packets; upon detection of a computer attack, stored values of message packets are deleted; the allocated fields used are defined data fields and a list of trusted addresses of a recipient and sender of message packets which are stored in arrays of reference parameters of values of corresponding data fields is created.
EFFECT: faster detection of computer attacks.
6 dwg

Description

Изобретение относится к электросвязи и может быть использовано в системах защиты от компьютерных атак путем их оперативного выявления и блокирования в информационно-вычислительных сетях (ИВС).The invention relates to telecommunications and can be used in systems of protection against computer attacks by quickly detecting and blocking them in information and computer networks (IVS).

Известен способ защиты от компьютерных атак, реализованный в патенте РФ №2179738 "Способ обнаружения удаленных атак в компьютерной сети", класс G06F 12/14, 24.04.2000.A known method of protection against computer attacks, implemented in RF patent No. 2179738 "Method for detecting remote attacks in a computer network", class G06F 12/14, 04.24.2000.

Данный способ включает следующую последовательность действий. Наблюдение за информационным потоком адресованных абоненту ИВС пакетов сообщений, включающее постоянно возобновляемый подсчет числа пакетов, выполняемый в пределах серии пакетов, поступающих из канала связи (КС) подряд друг за другом через промежутки времени не более заданного. При этом проверку поступающих пакетов данных на соответствие заданным правилам выполняют каждый раз, когда размер очередной наблюдаемой серии достигает критического числа пакетов.This method includes the following sequence of actions. Monitoring the information flow of message packets addressed to the IVS subscriber, including continuously renewed counting of the number of packets, performed within a series of packets arriving from the communication channel (CS) one after another at intervals of no more than a specified time. At the same time, the incoming data packets are checked for compliance with the given rules each time the size of the next observed series reaches a critical number of packets.

Недостатками данного способа являются: узкая область применения, что обусловлено его предназначением в основном для защиты от подмены одного из участников соединения, и недостаточная достоверность при обнаружении других типов компьютерных атак. В аналоге применяют ограниченную совокупность признаковых описаний компьютерных атак. При этом не учитывают наличия большого количества типов компьютерных атак, в частности типов атак, использующих фрагментацию пакетов, передаваемых между сегментами ИВС, что создает условия для пропуска последних и, как следствие, приводит к снижению устойчивости функционирования ИВС.The disadvantages of this method are: a narrow scope, due to its purpose mainly to protect against the substitution of one of the participants in the connection, and insufficient reliability when detecting other types of computer attacks. In the analogue, a limited set of indicative descriptions of computer attacks is used. At the same time, they do not take into account the presence of a large number of types of computer attacks, in particular, types of attacks that use fragmentation of packets transmitted between segments of the IVS, which creates the conditions for skipping the latter and, as a result, reduces the stability of the functioning of the IVS.

Известен способ оперативного динамического анализа состоянии многопараметрического объекта, описанный в патенте РФ 2134897, опубликованном 20.08.1999, позволяющий по изменению состояния элемента ИВС обнаруживать компьютерные атаки. В известном способе преобразуют результаты допусковой оценки разнородных динамических параметров в соответствующие информационные сигналы с обобщением по всему множеству параметров в заданном временном интервале и определяют относительную величину и характер изменения интегрального состояния многопараметрического элемента ИВС.A known method of operational dynamic analysis of the state of a multi-parameter object is described in RF patent 2134897, published on 08.20.1999, which allows detecting computer attacks by changing the state of an IVS element. In the known method, the results of the tolerance assessment of heterogeneous dynamic parameters are converted into corresponding information signals with a generalization over the entire set of parameters in a given time interval and the relative magnitude and nature of the change in the integral state of the multiparameter IVS element is determined.

Недостатком данного способа является узкая область применения, обусловленная тем, что несмотря на возможность оперативной диагностики технического и функционального состояний многопараметрического элемента ИВС, в нем применяют ограниченную совокупность признакового пространства, что создает условия для пропуска удаленных компьютерных атак (см. Медведовский И.Д. и др. Атака на Internet. - М.: ДМК, 1999. - 336 с.: ил.) и, как следствие, приводит к снижению устойчивости функционирования ИВС.The disadvantage of this method is the narrow scope, due to the fact that despite the possibility of operational diagnostics of the technical and functional states of the multiparameter element of the IVS, it uses a limited set of attribute space, which creates the conditions for skipping remote computer attacks (see Medvedovsky I.D. and other attack on the Internet. - M.: DMK, 1999. - 336 pp., ill.) and, as a result, leads to a decrease in the stability of the functioning of the IVS.

Известен способ защиты от компьютерных атак, реализованный в устройстве по патенту РФ 2219577 "Устройство поиска информации", класс G06F 17/40, опубликованном 24.04.2002. Способ заключается в том, что принимают из КС i-й пакет, где i=1, 2, 3,…, и запоминают его. Принимают (i+1)-й пакет, запоминают его. Выделяют из заголовка i-го и (i+1)-го пакетов идентификационные признаки, анализируют их на предмет совпадения, по результатам анализа принимают решение о факте наличия компьютерной атаки.A known method of protection against computer attacks, implemented in the device according to the patent of the Russian Federation 2219577 "Information retrieval device", class G06F 17/40, published on 04.24.2002. The method consists in taking the i-th packet from the CS, where i = 1, 2, 3, ..., and remember it. Receive the (i + 1) th packet, remember it. Identification signs are extracted from the header of the i-th and (i + 1) -th packets, they are analyzed for consistency, and the decision is made on the fact of a computer attack based on the results of the analysis.

Недостатком данного способа является относительно низкая устойчивость функционирования ИВС в условиях воздействия компьютерных атак, связанная с тем, что сравнением двух пакетов сообщений - последующего и предыдущего, распознается только одно семейство компьютерных атак - "шторм" ложных запросов на установление соединения, тогда как компьютерные атаки других типов, обладающие высокими деструктивными возможностями, не распознаются.The disadvantage of this method is the relatively low stability of the IVS functioning under the influence of computer attacks, due to the fact that by comparing two message packets - the next and the previous one, only one family of computer attacks is recognized - a “storm” of false requests to establish a connection, while computer attacks of others types with high destructive capabilities are not recognized.

Наиболее близким по технической сущности к предлагаемому способу является способ защиты информационно-вычислительных сетей от компьютерных атак по патенту RU №2285287, МПК G06F 12/14, H06F 12/22. Опубл. 10.10.2006 г., бюл. №28. Способ заключается в следующих действиях: принимают i-й, где i=1, 2, 3…, пакет сообщения из канала связи, запоминают его, принимают (i+1)-й пакет сообщения, запоминают его, выделяют из запомненных фрагментированных пакетов сообщений характеризующие их параметры, вычисляют необходимые параметры для сравнения принятых фрагментированных пакетов и по результатам сравнения принимают решение о факте наличия или отсутствия компьютерной атаки.The closest in technical essence to the proposed method is a method of protecting information and computer networks from computer attacks according to patent RU No. 2285287, IPC G06F 12/14, H06F 12/22. Publ. 10/10/2006, bull. No. 28. The method consists in the following actions: take the i-th, where i = 1, 2, 3 ..., the message packet from the communication channel, remember it, receive the (i + 1) th message packet, remember it, extract it from the remembered fragmented message packets the parameters characterizing them calculate the necessary parameters for comparing the received fragmented packets and, based on the results of the comparison, decide on the presence or absence of a computer attack.

Недостатком способа-прототипа является низкая оперативность обнаружения компьютерной атаки, обусловленная выполнением соответствующих действий по обнаружению уже в процессе осуществления компьютерной атаки, что может привести к несанкционированному воздействию на информационно-вычислительную сеть.The disadvantage of the prototype method is the low efficiency of detecting a computer attack, due to the implementation of appropriate detection actions already in the process of carrying out a computer attack, which can lead to unauthorized exposure to the computer network.

Целью заявленного технического решения является разработка способа защиты информационно-вычислительных сетей от компьютерных атак, обеспечивающего повышение оперативности обнаружения компьютерной атаки на информационно-вычислительную сеть за счет определения информации о подготовке компьютерной атаки путем использования трассировки маршрутов передачи пакетов по определенным доверенным маршрутам, поступающим в информационно-вычислительную сеть из каналов связи.The purpose of the claimed technical solution is to develop a method for protecting information and computer networks from computer attacks, which provides increased detection efficiency of a computer attack on an information and computer network by determining information about the preparation of a computer attack by using trace packet transmission routes along certain trusted routes that enter the information and computer network from communication channels.

В заявленном изобретении поставленная цель достигается тем, что в известном способе формируют массив для запоминания фрагментированных пакетов сообщения и массивы для запоминания параметров, выделенных из запомненных пакетов сообщений, принимают очередной пакет сообщения из канала связи, запоминают его, анализируют запомненный пакет на обнаружение факта наличия или отсутствия компьютерной атаки, и при отсутствии компьютерной атаки передают очередной пакет сообщения в информационно-вычислительную сеть, а в случае обнаружения компьютерной атаки принимают решение о запрете передачи пакета в информационно-вычислительную сеть и удаляют ранее запомненные значения пакетов сообщения из массивов, дополнительно в качестве выделенных полей из запомненных пакетов сообщений используют поля данных: «Время жизни пакета» {Т}, «Опции» {О}, «IP адрес назначения» {D}, «IP адрес источника» {I}, которые запоминают в сформированных для них массивах. Дополнительно формируют список доверенных адресов получателя и отправителя пакетов сообщений, которые запоминают в массивах эталонных параметров значений полей данных: «IP адрес назначения» {Dэт} и «IP адрес источника» {Iэт}. Затем адаптируют информационно-вычислительную сеть, для чего в тестовом режиме измеряют значения полей данных пакета «Время жизни пакета» и «Опции» для всех маршрутов между доверенными получателями и отправителем пакетов сообщений. Запоминают измеренные значения параметров в соответствующих массивах эталонных параметров значений полей данных «Время жизни пакета» Тэт, «Опции» Оэт. После запоминания принятого пакета сообщения, для обнаружения факта атаки или ее отсутствия выделяют из заголовка данного пакета значения полей данных «Время жизни пакета» T, «Опции» О, «IP адрес назначения» D и «IP адрес источника» I и запоминают их в соответствующих массивах {Т}, {О}, {D} и {I}. Сравнивают эталонные значения полей данных «Время жизни пакета», «Опции», «IP адрес назначения» и «IP адрес источника» со значениями полей данных из полученного пакета. Причем устанавливают факт отсутствия атаки, если эталонные значения полей данных «Время жизни пакета», «Опции», «IP адрес назначения» и «IP адрес источника» совпадают со значениями полей данных из полученного пакета, а факт наличия атаки устанавливают, если эталонные значения полей данных «Время жизни пакета», «Опции», «IP адрес назначения» и «IP адрес источника» не совпадают со значениями полей данных из полученного пакета.In the claimed invention, the goal is achieved by the fact that in the known method, an array is formed for storing fragmented message packets and arrays for storing parameters extracted from stored message packets, receive the next message packet from the communication channel, remember it, analyze the stored packet to detect the presence or the absence of a computer attack, and in the absence of a computer attack, they send the next message packet to the computer network, and if a computer is detected The black attacks make a decision to ban the transmission of the packet to the computer network and delete previously stored values of the message packets from the arrays; in addition, the data fields are used as the selected fields from the stored message packets: “Packet lifetime” {T}, “Options” {О }, "Destination IP address" {D}, "Source IP address" {I}, which are stored in arrays formed for them. Additionally, a list of trusted addresses of the recipient and sender of message packets is formed, which are stored in the arrays of the reference parameters of the data field values: “Destination IP address” {D floor } and “Source IP address” {I floor }. Then, the computer network is adapted, for which, in test mode, the values of the data packets of the packet “Lifetime of the packet” and “Options” are measured for all routes between trusted recipients and the sender of message packets. Remember the measured values of the parameters in the corresponding arrays of reference parameters of the data field values "Package lifetime" T et , "Options" About et . After storing the received message packet, in order to detect the fact of an attack or its absence, the values of the data fields “Packet lifetime” T, “Options” О, “Destination IP address” D and “Source IP address” I are extracted from the header of this packet and stored in corresponding arrays {T}, {O}, {D} and {I}. The reference values of the data fields “packet lifetime”, “options”, “destination IP address” and “source IP address” are compared with the values of the data fields from the received packet. Moreover, the fact of the absence of an attack is established if the reference values of the data fields “Packet lifetime”, “Options”, “Destination IP address” and “Source IP address” coincide with the values of the data fields from the received packet, and the fact of an attack is established if the reference values the data fields “Package lifetime”, “Options”, “Destination IP address” and “Source IP address” do not match the data field values from the received packet.

Новая совокупность существенных признаков позволяет достичь указанного технического результата за счет определения информации о подготовке компьютерной атаки путем использования трассировки маршрутов передачи пакетов по определенным доверенным маршрутам, поступающим в информационно-вычислительную сеть из каналов связи.A new set of essential features allows to achieve the specified technical result by determining information about the preparation of a computer attack by using the trace of packet transmission routes along certain trusted routes entering the computer network from communication channels.

Заявленный способ поясняется чертежами, на которых изображено следующее:The claimed method is illustrated by drawings, which depict the following:

на Фиг.1 - блок-схема алгоритма "способ защиты ИВС от компьютерных атак";figure 1 is a block diagram of the algorithm "method of protecting the ITT from computer attacks";

на Фиг.2 - схема, поясняющая порядок формирования маршрута передачи пакетов сообщений в ИВС;figure 2 is a diagram explaining the formation of the route of transmission of message packets in the IVS;

на Фиг.3 - заголовок IP дейтограммы;figure 3 - header IP datagram;

на Фиг.4 - значение поля данных «Опции» пакета после прохождения по сети связи;figure 4 - the value of the data field "Options" package after passing through the communication network;

на Фиг.5 - таблица эталонных значений полей данных «IP адрес назначения», «IP адрес источника», «Время жизни пакета» и «Опции»;figure 5 is a table of reference values of the data fields "Destination IP address", "Source IP address", "Packet lifetime" and "Options";

на Фиг.6 - зависимость времени обнаружения компьютерной атаки от объема фрагментированного сообщения.figure 6 - dependence of the detection time of a computer attack on the volume of the fragmented message.

Реализация заявленного способа поясняется алгоритмом (фиг.1), схемой (фиг.2) и объясняется следующим образом.The implementation of the claimed method is illustrated by the algorithm (figure 1), the circuit (figure 2) and is explained as follows.

1. Формируют массив Р для запоминания поступающих из канала связи IP-пакетов сообщений.1. An array P is formed for storing IP message packets coming from the communication channel.

2. Формируют массивы D, I, Т и О для запоминания параметров выделенных из запомненных пакетов сообщений соответственно:2. Arrays D, I, T and O are formed for storing parameters selected from stored message packets, respectively:

D - для запоминания значений поля данных «IP адрес назначения»;D - for storing the values of the data field "Destination IP address";

I - для запоминания значений поля данных «IP адрес источника»;I - for storing the values of the data field "IP address of the source";

Т - для запоминания значений поля данных «Время жизни пакета»;T - to remember the values of the data field "lifetime of the packet";

О - для запоминания значений поля данных «Опции».О - for storing the values of the “Options” data field.

В предлагаемом изобретении используют функции протокола IP, применяемые при передаче пакетов по сети. Заголовок протокола IP содержит множество полей (фиг.3). В полях «IP адрес назначения» и «IP адрес источника» будут находиться 32-битные последовательности, определяющие логические адреса назначения и источника пакета сообщения, необходимые для передачи его по ИВС.In the present invention use the functions of the IP protocol used in the transmission of packets over the network. The IP header contains many fields (FIG. 3). In the fields “Destination IP Address” and “Source IP Address” there will be 32-bit sequences defining the logical addresses of the destination and the source of the message packet necessary for transmitting it via the IVS.

Поле «Время жизни пакета» определяет максимальное время существования дейтаграммы в сети.Field "packet lifetime" defines the maximum lifetime of the datagram in the network.

Поле «Опции» является необязательным и имеет переменную длину. Поддержка опций должна реализоваться во всех модулях IP (узлах и маршрутизаторах). Стандартом определены 8 опций. В предлагаемом изобретении используется опция - «запись маршрута» [RFC 791, Internet Protocol, 1981, сентябрь, стр.14-22].The Options field is optional and has a variable length. Support for options should be implemented in all IP modules (nodes and routers). The standard defines 8 options. In the present invention, the option “route recording” is used [RFC 791, Internet Protocol, 1981, September, pp. 14-22].

3. Формируют массивы Dэт, Iэт для запоминания эталонных параметров выделенных из запомненных пакетов сообщений:3. Arrays D et , I et are formed to store the reference parameters extracted from the stored message packets:

Dэт - значений поля данных «IP адрес назначения»;D et - values of the data field "Destination IP address";

Iэт - значений поля данных «IP адрес источника».I et - values of the data field "Source IP Address".

4. Формируют массивы Тэт, Оэт для запоминания эталонных параметров выделенных из запомненных пакетов сообщений:4. Arrays of T et , O et are formed to store the reference parameters extracted from the stored message packets:

Тэт - значений поля данных «Время жизни пакета»;T et - values of the data field "lifetime of the packet";

Оэт - значений поля данных «Опции».About et - values of the "Options" data field.

5. Определяют доверенные IP-адреса получателя и отправителя для запоминания этих значений в массив Dэт, Iэт. Под доверенными IP-адресами понимают пары адресов, источника и назначения, легитимных абонентов различных фрагментов ИВС. Запоминают данные значения доверенных адресов получателя и отправителя пакетов сообщений в массив Dэт, Iэт.5. Determine the trusted IP addresses of the receiver and sender to store these values in an array of D et , I et . Trusted IP addresses mean pairs of addresses, source and destination, legitimate subscribers of various fragments of the IVS. The values of trusted addresses of the recipient and sender of message packets are stored in an array D et , I et .

6. Адаптируют информационно-вычислительную сеть. Под адаптацией понимается работа информационно-вычислительной сети в тестовом режиме для внедрения в конкретных условиях функционирования [ГОСТ Р 53622-2009 «Информационные технологии. Информационно-вычислительные системы. Стадии и этапы жизненного цикла, виды и комплектность документов», стр.4-5].6. Adapt the computer network. Adaptation refers to the operation of an information-computer network in test mode for implementation in specific operating conditions [GOST R 53622-2009 “Information technology. Information computing systems. Stages and stages of the life cycle, types and completeness of documents ”, p.4-5].

7. Измеряют реальные значения полей данных пакета «Время жизни пакета» и «Опции» для маршрута между j-й парой доверенных адресов получателя и отправителя пакетов сообщений, где j=1, 2, …N, N - количество пар адресов доверенных абонентов. При передаче пакетов по сети промежуточные узлы (маршрутизаторы) осуществляют их маршрутизацию по адресной информации, имеющейся в заголовке пакета [ГОСТ Р ИСО/МЭК 7498-1-99 «Информационная технология. Взаимосвязь открытых систем. Базовая эталонная модель. Часть 1. Базовая модель», стр.13]. Таким образом, после передачи пакета по сети от источника к получателю сообщения, по определенному маршруту, адреса источника и получателя (поля «IP адрес назначения», «IP адрес источника»), количество пройденных маршрутизаторов (поле «время жизни пакета») и маршрут прохождения пакета (поле «опции») будут иметь одинаковые значения для всех пакетов сообщений, проходящих по этому маршруту (фиг.4). Эти значения запоминают в массивах Dэт, Iэт, Тэт, Оэт. Данную процедуру повторяют для всех пар доверенных адресов (j=N).7. Measure the real values of the data fields of the packet "Lifetime of the packet" and "Options" for the route between the jth pair of trusted addresses of the recipient and sender of message packets, where j = 1, 2, ... N, N is the number of pairs of addresses of trusted subscribers. When packets are transmitted over a network, intermediate nodes (routers) route them using the address information in the packet header [GOST R ISO / IEC 7498-1-99 “Information technology. Interconnection of open systems. The basic reference model. Part 1. The basic model ”, p.13]. Thus, after the packet is transmitted over the network from the source to the recipient of the message, along a specific route, the source and destination addresses (fields “Destination IP address”, “Source IP address”), the number of routers passed (field “packet lifetime”) and route packet passing (field "options") will have the same values for all message packets passing along this route (figure 4). These values are stored in arrays D et , I et , T et , About et . This procedure is repeated for all pairs of trusted addresses (j = N).

8. После того как все эталонные значения проверяемых параметров собраны и записаны в соответствующие массивы, осуществляют перевод информационной вычислительной сети в режим реальной работы (эксплуатация).8. After all the reference values of the checked parameters are collected and recorded in the corresponding arrays, the information computer network is transferred to the real mode of operation (operation).

9. Принимают i-й пакет сообщения из канала связи, где i=1, 2, 3,….9. Receive the i-th message packet from the communication channel, where i = 1, 2, 3, ....

10. Запоминают i-й пакет сообщения в массив Р для дальнейшей работы с заголовком i-го пакета.10. The i-th message packet is stored in the P array for further work with the header of the i-th packet.

11. Выделяют из заголовка i-го пакета значения поля данных «Время жизни пакета» Ti, поля данных «Опции» Oi, поля данных «IP адрес назначения» Di и поля данных «IP адрес источника» Ii.11. From the header of the i-th packet, the values of the data field “Packet lifetime” T i , the data field “Options” O i , the data field “Destination IP address” D i and the data field “Source IP address” I i are extracted .

12. Запоминают в массивы Т, О, D, I значения поля данных «Время жизни пакета» Ti, поля данных «Опции» Oi, поля данных «IP адрес назначения» Di и поля данных «IP адрес источника» Ii 12. Remember in the arrays T, O, D, I the values of the data field “Packet lifetime” T i , the data field “Options” O i , the data field “Destination IP address” D i and the data field “Source IP address” I i

13. Для выявления и блокирования компьютерных атак осуществляют поиск в массивах Dэт, Iэт соответствующих значений полей данных «IP адрес назначения» Di и «IP адрес источника» Ii полученного i-го пакета. При совпадении данных полей проверяют соответствие значений полей данных «Время жизни пакета» Ti и «Опции» Oi принятого пакета сообщений с эталонными значениями Тэт, Оэт (фиг.5).13. To identify and block computer attacks, search the arrays D et , I et for the corresponding values of the data fields “Destination IP address” D i and “Source IP address” I i of the received i-th packet. When these fields coincide, check the correspondence of the values of the data fields "Packet lifetime" T i and "Options" O i of the received message packet with the reference values of T et , O et (Fig. 5).

14. Передают i-й пакет сообщения в информационно-вычислительную сеть при совпадении эталонных значений полей данных «Время жизни пакета», «Опции», «IP адрес назначения» и «IP адрес источника» со значениями полей данных из полученного пакета.14. The i-th message packet is transmitted to the computer network when the reference values of the data fields “Packet lifetime”, “Options”, “Destination IP address” and “Source IP address” coincide with the values of the data fields from the received packet.

15. Принимают решение о подготовке атаки при несовпадении эталонных значений полей данных «Время жизни пакета», «Опции», «IP адрес назначения» и «IP адрес источника» со значениями полей данных из полученного пакета и запрещают передачу i-го пакета сообщения в информационно-вычислительную сеть, а также удаляют все значения из массивов T, О, D, I.15. Decide on preparing an attack if the reference values of the data fields “packet lifetime”, “options”, “destination IP address” and “source IP address” with the values of the data fields from the received packet do not match and prohibit the transmission of the ith message packet to computer network, as well as delete all the values from the arrays T, O, D, I.

16. Повторяют действия начиная с приема очередного пакета сообщения из канала связи до сравнения эталонных значений полей данных со значениями полей данных вновь принятого пакета сообщения и затем принимают решение о факте наличия или отсутствия компьютерной атаки.16. Repeat the steps from receiving the next message packet from the communication channel to comparing the reference values of the data fields with the data fields of the newly received message packet and then decide on the presence or absence of a computer attack.

Возможность реализации сформулированного технического результата была проверена путем машинного моделирования. С помощью моделирования получена взаимосвязь значений времени распознавания tобн (обнаружения) компьютерной атаки от объема фрагментированного сообщения Vсооб (фиг.6) для мелкого объема файла - 0,11 Мбайт, среднего объема файла - 9,96 Мбайт и большого объема файла - 1452,70 Мбайт с учетом того, что объем IP-пакета - 64 Кб. [Дайте два! Обновленное тестирование жестких дисков / В.Косихин // журнал "3DNews", 2011 г. Режим доступа: http://www.3dnews.ru/].The feasibility of implementing the formulated technical result was verified by machine simulation. Using modeling, the relationship between the recognition time t obn (detection) of a computer attack and the fragmented message volume V message (Fig. 6) was obtained for a small file size of 0.11 MB, an average file size of 9.96 MB and a large file size of 1452 , 70 MB, taking into account the fact that the volume of the IP packet is 64 Kb. [Give two! Updated hard drive testing / V.Kosikhin // 3DNews magazine, 2011. Access mode: http://www.3dnews.ru/].

Достижение технического результата поясняется следующим образом. Для способа-прототипа при обнаружении компьютерной атаки осуществляется выявление фрагментированных пакетов за время Т1, которое зависит от объема передаваемого сообщения. Для предлагаемого способа выявление компьютерной атаки производится по результатам анализа каждого последовательно принятого пакета за время T2, не ожидая времени, необходимого для дефрагментации всего сообщения.The achievement of the technical result is illustrated as follows. For the prototype method, when a computer attack is detected, fragmented packets are detected in time T 1 , which depends on the volume of the transmitted message. For the proposed method, the detection of a computer attack is made according to the results of the analysis of each sequentially received packet for a time T 2 without waiting for the time required to defragment the entire message.

При этом разница в требуемом времени для обнаружения компьютерной атаки ΔT=T1-T2 тем больше, чем больше объем фрагментированного сообщения, чем и достигается сформулированный технический результат при реализации заявленного способа, т.е. повышение оперативности обнаружения компьютерной атаки на информационно-вычислительную сеть.In this case, the difference in the required time for detecting a computer attack ΔT = T 1 -T 2 the greater, the greater the volume of the fragmented message, which is achieved by the formulated technical result when implementing the claimed method, i.e. increasing the efficiency of detecting computer attacks on the computer network.

Claims (1)

Способ защиты информационно-вычислительных сетей от компьютерных атак, заключающийся в том, что формируют массив для запоминания фрагментированных пакетов сообщения и массивы для запоминания параметров, выделенных из запомненных пакетов сообщений, принимают очередной пакет сообщения из канала связи, запоминают его, анализируют запомненный пакет на обнаружение факта наличия или отсутствия компьютерной атаки и при отсутствии компьютерной атаки передают очередной пакет сообщения в информационно-вычислительную сеть, а в случае обнаружения компьютерной атаки принимают решение о запрете передачи пакета в информационно-вычислительную сеть и удаляют ранее запомненные значения пакетов сообщения из массивов, отличающийся тем, что в качестве выделенных полей из запомненных пакетов сообщений используют поля данных: «Время жизни пакета» {Т}, «Опции» {О}, «IP адрес назначения» {D}, «IP адрес источника» {I}, которые запоминают в сформированных для них массивах, дополнительно формируют список доверенных адресов получателя и отправителя пакетов сообщений, которые запоминают в массивах эталонных параметров значений полей данных: «IP адрес назначения» {Dэт} и «IP адрес источника» {Iэт}, затем адаптируют информационно-вычислительную сеть, для чего в тестовом режиме измеряют значения полей данных пакета «Время жизни пакета» и «Опции» для всех маршрутов между доверенными получателями и отправителем пакетов сообщений, запоминают измеренные значения параметров в соответствующих массивах эталонных параметров значений полей данных: «Время жизни пакета» Тэт, «Опции» Оэт, после запоминания принятого пакета сообщения, для обнаружения факта атаки или ее отсутствия выделяют из заголовка данного пакета значения полей данных: «Время жизни пакета» Т, «Опции» О, «IP адрес назначения» D и «IP адрес источника» I и запоминают их в соответствующих массивах {Т}, {О}, {D} и {I}, сравнивают эталонные значения полей данных «Время жизни пакета», «Опции», «IP адрес назначения» и «IP адрес источника» со значениями полей данных из полученного пакета, причем устанавливают факт отсутствия атаки, если эталонные значения полей данных: «Время жизни пакета», «Опции», «IP адрес назначения» и «IP адрес источника» совпадают со значениями полей данных из полученного пакета, а факт наличия атаки устанавливают, если эталонные значения полей данных: «Время жизни пакета», «Опции», «IP адрес назначения» и «IP адрес источника» не совпадают со значениями полей данных из полученного пакета. A method of protecting information and computer networks from computer attacks, which consists in forming an array for storing fragmented message packets and arrays for storing parameters extracted from stored message packets, receiving the next message packet from the communication channel, storing it, and analyzing the stored packet for detection the fact of the presence or absence of a computer attack and in the absence of a computer attack send another message packet to the computer network, and if Computer attack phenomena make a decision to prohibit packet transmission to the computer network and delete previously stored values of message packets from arrays, characterized in that the data fields are used as selected fields from stored message packets: "Packet lifetime" {T}, " Options "{О}," Destination IP address "{D}," Source IP address "{I}, which are stored in arrays formed for them, additionally form a list of trusted addresses of the recipient and sender of message packets that are stored in the array x reference parameter data field values: «IP destination address» {D fl} and «IP source address» {I fl}, then adapted information-area network, which in a test mode measured values of data fields package "The lifetime of the package" and “Options” for all routes between trusted recipients and the sender of message packets, store the measured parameter values in the corresponding arrays of reference parameters of data field values: “Packet lifetime” T et , “Options” About et , after storing the received message packet, for detecting the fact of an attack or its absence, select the values of the data fields from the header of this packet: “Packet lifetime” T, “Options” О, “Destination IP address” D and “Source IP address” I and store them in the corresponding arrays {T}, {О}, {D} and {I}, compare the reference values of the data fields "Packet lifetime", "Options", "Destination IP address" and "Source IP address" with the values of the data fields from the received packet, and establish the fact of absence attacks if the reference values of the data fields are: “Packet lifetime”, “Options”, “Destination IP address” and “IP source address "match the values of the data fields from the received packet, and the fact of an attack is established if the reference values of the data fields:" Packet lifetime "," Options "," destination IP address "and" source IP address "do not match the values of the fields data from the received packet.
RU2011147613/08A 2011-11-23 2011-11-23 Method of protecting information computer networks from computer attacks RU2472211C1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
RU2011147613/08A RU2472211C1 (en) 2011-11-23 2011-11-23 Method of protecting information computer networks from computer attacks

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
RU2011147613/08A RU2472211C1 (en) 2011-11-23 2011-11-23 Method of protecting information computer networks from computer attacks

Publications (1)

Publication Number Publication Date
RU2472211C1 true RU2472211C1 (en) 2013-01-10

Family

ID=48806230

Family Applications (1)

Application Number Title Priority Date Filing Date
RU2011147613/08A RU2472211C1 (en) 2011-11-23 2011-11-23 Method of protecting information computer networks from computer attacks

Country Status (1)

Country Link
RU (1) RU2472211C1 (en)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2635256C1 (en) * 2016-05-04 2017-11-09 федеральное государственное казенное военное образовательное учреждение высшего образования "Военная академия связи имени Маршала Советского Союза С.М. Буденного" Министерства обороны Российской Федерации Method for protecting information-computer network against unauthorized impact
RU2680756C1 (en) * 2017-12-14 2019-02-26 Федеральное государственное автономное образовательное учреждение дополнительного профессионального образования "Центр реализации государственной образовательной политики и информационных технологий" Method of detecting network attacks based on analysis of traffic time structure
RU2690749C1 (en) * 2018-05-22 2019-06-05 федеральное государственное казенное военное образовательное учреждение высшего образования "Краснодарское высшее военное училище имени генерала армии С.М. Штеменко" Министерства обороны Российской Федерации Method of protecting computer networks
RU2704741C2 (en) * 2018-03-16 2019-10-30 Федеральное государственное автономное образовательное учреждение дополнительного профессионального образования "Центр реализации государственной образовательной политики и информационных технологий" Method of protection against ddos-attack on basis of traffic classification

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2179738C2 (en) * 2000-04-24 2002-02-20 Вильчевский Никита Олегович Method for detecting remote attacks in computer network
US20020166068A1 (en) * 2001-05-02 2002-11-07 Tantivy Communications, Inc. Firewall protection for wireless users
RU2321052C2 (en) * 2006-04-07 2008-03-27 Государственное образовательное учреждение высшего профессионального образования Академия Федеральной службы охраны Российской Федерации (Академия ФСО России) Method for detecting remote attacks against automated systems
US20080282339A1 (en) * 2002-08-20 2008-11-13 Nec Corporation Attack defending system and attack defending method

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2179738C2 (en) * 2000-04-24 2002-02-20 Вильчевский Никита Олегович Method for detecting remote attacks in computer network
US20020166068A1 (en) * 2001-05-02 2002-11-07 Tantivy Communications, Inc. Firewall protection for wireless users
US20080282339A1 (en) * 2002-08-20 2008-11-13 Nec Corporation Attack defending system and attack defending method
RU2321052C2 (en) * 2006-04-07 2008-03-27 Государственное образовательное учреждение высшего профессионального образования Академия Федеральной службы охраны Российской Федерации (Академия ФСО России) Method for detecting remote attacks against automated systems

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2635256C1 (en) * 2016-05-04 2017-11-09 федеральное государственное казенное военное образовательное учреждение высшего образования "Военная академия связи имени Маршала Советского Союза С.М. Буденного" Министерства обороны Российской Федерации Method for protecting information-computer network against unauthorized impact
RU2680756C1 (en) * 2017-12-14 2019-02-26 Федеральное государственное автономное образовательное учреждение дополнительного профессионального образования "Центр реализации государственной образовательной политики и информационных технологий" Method of detecting network attacks based on analysis of traffic time structure
RU2704741C2 (en) * 2018-03-16 2019-10-30 Федеральное государственное автономное образовательное учреждение дополнительного профессионального образования "Центр реализации государственной образовательной политики и информационных технологий" Method of protection against ddos-attack on basis of traffic classification
RU2690749C1 (en) * 2018-05-22 2019-06-05 федеральное государственное казенное военное образовательное учреждение высшего образования "Краснодарское высшее военное училище имени генерала армии С.М. Штеменко" Министерства обороны Российской Федерации Method of protecting computer networks

Similar Documents

Publication Publication Date Title
Hamza et al. Detecting volumetric attacks on lot devices via sdn-based monitoring of mud activity
Chen et al. CBF: a packet filtering method for DDoS attack defense in cloud environment
Beverly A robust classifier for passive TCP/IP fingerprinting
CN103795709B (en) Network security detection method and system
Pang et al. The devil and packet trace anonymization
Yang et al. RIHT: a novel hybrid IP traceback scheme
Sridharan et al. Connectionless port scan detection on the backbone
Berk et al. Designing a framework for active worm detection on global networks
Wang et al. A data streaming method for monitoring host connection degrees of high-speed links
CN110166480B (en) Data packet analysis method and device
CN111709009A (en) Detection method and device for networked industrial control system, computer equipment and medium
Yeganeh et al. Cute: Traffic classification using terms
Celik et al. Salting public traces with attack traffic to test flow classifiers
CN114143037B (en) Malicious encrypted channel detection method based on process behavior analysis
CN108965248A (en) A kind of P2P Botnet detection system and method based on flow analysis
CN107360118A (en) A kind of advanced constant threat attack guarding method and device
RU2472211C1 (en) Method of protecting information computer networks from computer attacks
Zali et al. Real-time attack scenario detection via intrusion detection alert correlation
CN107209834A (en) Malicious communication pattern extraction apparatus, malicious communication schema extraction system, malicious communication schema extraction method and malicious communication schema extraction program
Pashamokhtari et al. Progressive monitoring of iot networks using sdn and cost-effective traffic signatures
van De Wiel et al. Enabling non-expert analysis of large volumes of intercepted network traffic
KR20170054215A (en) Method for connection fingerprint generation and traceback based on netflow
RU2628913C1 (en) Method of detecting remote attacks on automated control systems
CN102437936A (en) Detection method of high speed network bot message based on double-filtering mechanism
RU2622788C1 (en) Method for protecting information-computer networks against cyber attacks

Legal Events

Date Code Title Description
MM4A The patent is invalid due to non-payment of fees

Effective date: 20131124