RU2483348C1 - Способ защиты информационно-вычислительных сетей от компьютерных атак - Google Patents

Способ защиты информационно-вычислительных сетей от компьютерных атак Download PDF

Info

Publication number
RU2483348C1
RU2483348C1 RU2012116988/08A RU2012116988A RU2483348C1 RU 2483348 C1 RU2483348 C1 RU 2483348C1 RU 2012116988/08 A RU2012116988/08 A RU 2012116988/08A RU 2012116988 A RU2012116988 A RU 2012116988A RU 2483348 C1 RU2483348 C1 RU 2483348C1
Authority
RU
Russia
Prior art keywords
packet
address
packets
computer
message
Prior art date
Application number
RU2012116988/08A
Other languages
English (en)
Inventor
Ольга Александровна Баленко
Владимир Владимирович Бухарин
Александр Владимирович Кирьянов
Валерий Алексеевич Липатников
Игорь Юрьевич Санин
Юрий Иванович Стародубцев
Original Assignee
Федеральное государственное казенное военное образовательное учреждение высшего профессионального образования "ВОЕННАЯ АКАДЕМИЯ СВЯЗИ имени Маршала Советского Союза С.М. Буденного" Министерства обороны Российской Федерации
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Федеральное государственное казенное военное образовательное учреждение высшего профессионального образования "ВОЕННАЯ АКАДЕМИЯ СВЯЗИ имени Маршала Советского Союза С.М. Буденного" Министерства обороны Российской Федерации filed Critical Федеральное государственное казенное военное образовательное учреждение высшего профессионального образования "ВОЕННАЯ АКАДЕМИЯ СВЯЗИ имени Маршала Советского Союза С.М. Буденного" Министерства обороны Российской Федерации
Priority to RU2012116988/08A priority Critical patent/RU2483348C1/ru
Application granted granted Critical
Publication of RU2483348C1 publication Critical patent/RU2483348C1/ru

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

Изобретение относится к электросвязи и может быть использовано в системах защиты от компьютерных атак путем их оперативного выявления и блокирования в информационно-вычислительных сетях (ИВС). Техническим результатом является повышение достоверности обнаружения компьютерных атак на ИВС. Способ содержит этапы, на которых: формируют список доверенных адресов получателя и отправителя пакетов сообщений, формируют проверочный пакет, для чего считывают адрес отправителя D и адрес получателя Ij и записывают в поле «Время жизни пакета» TTL начальное значение, равное единице, после чего запоминают сформированный пакет Pij в массив Р, задают значение количества Кдоп полученных ответных пакетов о недоставленном пакете Pij с текущим значением поля «Время жизни пакета» TTL, затем передают сформированный пакет в канал связи. 4 ил.

Description

Изобретение относится к электросвязи и может быть использовано в системах защиты от компьютерных атак путем их оперативного выявления и блокирования в информационно-вычислительных сетях (ИВС).
Известен способ защиты от компьютерных атак, реализованный в патенте РФ №2179738 «Способ обнаружения удаленных атак в компьютерной сети», класс G06F 12/14, заявл. 24.04.2000.
Данный способ включает следующую последовательность действий. Наблюдение за информационным потоком адресованных абоненту ИВС пакетов сообщений, включающее постоянно возобновляемый подсчет числа пакетов, выполняемый в пределах серии пакетов, поступающих из канала связи (КС) подряд друг за другом через промежутки времени не более заданного. При этом проверку поступающих пакетов данных на соответствие заданным правилам выполняют каждый раз, когда размер очередной наблюдаемой серии достигает критического числа пакетов.
Недостатками данного способа являются узкая область применения, что обусловлено его предназначением в основном для защиты от подмены одного из участников соединения, и недостаточная достоверность при обнаружении других типов компьютерных атак.
Известен способ оперативного динамического анализа состояний многопараметрического объекта, описанный в патенте РФ №2134897, опубликованном 20.08.1999, позволяющий по изменению состояния элемента ИВС обнаруживать компьютерные атаки. В известном способе преобразуют результаты допусковой оценки разнородных динамических параметров в соответствующие информационные сигналы с обобщением по всему множеству параметров в заданном временном интервале и определяют относительную величину и характер изменения интегрального состояния многопараметрического элемента ИВС.
Недостатком данного способа является узкая область применения, обусловленная тем, что несмотря на возможность оперативной диагностики технического и функционального состояний многопараметрического элемента ИВС в нем применяют ограниченную совокупность признакового пространства, что создает условия для пропуска удаленных компьютерных атак (см. Медведовский И.Д. и др. Атака на Internet. - М.: ДМК, 1999. - 336 с.: ил.) и, как следствие, приводит к снижению устойчивости функционирования ИВС.
Известен способ защиты от компьютерных атак, реализованный в устройстве по патенту РФ №2219577 «Устройство поиска информации», класс G06F 17/40, опубликованном 24.04.2002. Способ заключается в том, что принимают из КС i-й пакет, где i=1,2,3,…, и запоминают его. Принимают (i+1)-й пакет, запоминают его. Выделяют из заголовка i-го и (i+1)-го пакетов идентификационные признаки, анализируют их на предмет совпадения и по результатам анализа принимают решение о факте наличия компьютерной атаки.
Недостатком данного способа является относительно низкая устойчивость функционирования ИВС в условиях воздействия компьютерных атак, связанная с тем, что сравнением двух пакетов сообщений - последующего и предыдущего, распознается только одно семейство компьютерных атак - "шторм" ложных запросов на установление соединения, тогда как компьютерные атаки других типов, обладающие высокими деструктивными возможностями, не распознаются.
Наиболее близким по технической сущности к предлагаемому способу является способ защиты информационно-вычислительных сетей от компьютерных атак по патенту RU №2285287, МПК G06F 12/14 H06F 12/22. Опубл. 10.10.2006 г., бюл. №28. Способ заключается в следующих действиях: принимают i-й, где i=1,2,3…, пакет сообщения из канала связи, запоминают его, принимают (i+1)-й пакет сообщения, запоминают его, выделяют и запомненных фрагментированных пакетов сообщений характеризующие их параметры, вычисляют необходимые параметры для сравнения принятых фрагментированных пакетов и по результатам сравнения принимают решение о факте наличия или отсутствия компьютерной атаки.
Недостатком способа-прототипа является относительно низкая достоверность обнаружения компьютерных атак, обусловленная тем, что определяются только активные компьютерные атаки, что может привести к перехвату передаваемых данных в информационно-вычислительную сеть по внешней сети.
Целью заявленного технического решения является разработка способа защиты информационно-вычислительных сетей от компьютерных атак, обеспечивающего повышение достоверности обнаружения компьютерных атак на информационно-вычислительную сеть за счет определения информации о ведении всех видов компьютерных атак, в том числе и пассивных, путем передачи проверочных пакетов и анализа ответных пакетов от маршрутизаторов внешней сети, используемых на маршруте передачи пакетов сообщения.
В заявленном изобретении поставленная цель достигается тем, что в известном способе защиты информационно-вычислительных сетей от компьютерных атак формируют массив для запоминания пакетов сообщения и массивы для запоминания параметров, выделенных из запомненных пакетов сообщений, принимают пакет сообщения из канала связи, запоминают его, анализируют запомненный пакет на обнаружение факта наличия или отсутствия компьютерной атаки и принимают решение о наличии компьютерной атаки при выполнении определенного условия, дополнительно формируют список доверенных адресов получателя и отправителя пакетов сообщений, в качестве используемых параметров пакетов сообщений используют поля данных: «IP адрес назначения», «IP адрес источника», которые запоминают в сформированных для них массивах {D}, {I}. Затем формируют проверочный пакет, для чего считывают адрес отправителя Di и адрес получателя Ij из массивов D, I и записывают их в соответствующие поля проверочного пакета сообщения. Записывают в поле «Время жизни пакета» TTL начальное значение, равное единице. После чего запоминают сформированный пакет Pij в массив Р. Задают значение количества Kдоп полученных ответных пакетов о недоставленном пакете Pij с текущим значением поля «Время жизни пакета» TTL. Затем передают сформированный пакет в канал связи. После запоминания принятых ответных пакетов о недоставленном пакете Pij от промежуточных маршрутизаторов в течение времени Δt для обнаружения факта атаки или ее отсутствия выделяют из ответного пакета значения полей: «IP адрес источника», являющееся адресом промежуточного маршрутизатора, и «Данные», имеющее адреса назначения Di, источника Ii, и запоминают их в соответствующих массивах, а также увеличивают количество принятых ответных пакетов K на единицу. Затем сравнивают количество принятых ответных пакетов K с заданным значением Kдоп, причем устанавливают факт отсутствия атаки, если выполняется условие K≤Kдоп, при этом формируют следующий проверочный пакет Pij с адресом отправителя Di, получателя Ij и новым значением поля «Время жизни пакета» TTL, которое увеличивают на единицу, и передают сформированный пакет в канал связи, а факт наличия атаки устанавливают, если выполняется условие K>Kдоп.
Новая совокупность существенных признаков позволяет достичь указанного технического результата за счет определения информации о ведении всех видов компьютерных атак, в том числе и пассивных, путем передачи проверочных пакетов и анализа ответных пакетов от маршрутизаторов внешней сети используемых на маршруте передачи пакетов сообщения.
Существующие угрозы безопасности информации могут быть реализованы путем использования протоколов межсетевого взаимодействия при построении распределенной ИВС, состоящей из нескольких сегментов, которые взаимодействуют через внешнюю сеть (сеть общего пользования). При этом данные угрозы реализуются за счет проведения компьютерных атак, которые могут быть активными и пассивными. Особую опасность представляют пассивные компьютерные атаки, которые не оказывается непосредственное влияние на работу ИВС, но при этом могут быть нарушены установленные правила разграничения доступа к данным или сетевым ресурсам. Примером является компьютерная атака «Анализ сетевого графика», направленная на прослушивание каналов связи и перехват передаваемой информации [Руководящий документ. Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных. ФСТЭК России. 2008, стр.33-49].
В предлагаемом изобретении используется принцип трассировки маршрута прохождения пакетов по внешней сети, заложенный в процедурной характеристике протокола IP и ICMP.
Заявленный способ поясняется чертежами, на которых показаны:
на Фиг.1 схема, поясняющая порядок передачи тестовых пакетов и приема ответных пакетов в ИВС;
на Фиг.2 заголовок IP дейтаграммы;
на Фиг.3 заголовок ICMP дейтаграммы;
на Фиг.4 блок-схема алгоритма способа защиты ИВС от компьютерных атак.
Реализацию заявленного способа можно пояснить на схеме информационно-вычислительной сети, показанной на фиг.1.
Защищаемая ИВС 1 подключена к внешней сети 2 посредством маршрутизатора 2.11. В общем случае защищаемая ИВС 1 представляет собой совокупность ПЭВМ 1.11-1.1N, периферийного и коммуникационного оборудования 1.2 и 1.3, объединенного физическими линиями связи. Все эти элементы имеют идентификаторы, в качестве которых в наиболее распространенном стеке протоколов ТСР/IP используются сетевые адреса (IP-адреса). Внешняя сеть представлена набором маршрутизаторов 2.12-2.16, осуществляющих транспортировку информационных потоков из одной защищаемой ИВС в другую.
Структура пакетов сообщений известна, как известен и принцип передачи пакетов в вычислительных сетях. Например, на фиг.2 представлена структура заголовка IP-пакетов сообщений, где выделены поля: времени жизни пакета, адресов отправителя и получателя пакета сообщений [RFC 791, Internet Protocol, 1981, сентябрь, стр.11-22].
При прохождении пакетов через внешнюю сеть осуществляется его маршрутизация от источника к получателю в соответствии с IP адресом назначения. Кроме того, источник задает время жизни пакета, и при прохождении каждого маршрутизатора данное время уменьшается на единицу. Данное поле позволяет уменьшить возможность перегрузки сети. Максимальное значение времени жизни является 255, так как под это поле в заголовке IP пакета отводится два байта. Соответственно, если маршрутизатор обнаруживает пакет с нулевым значение поля времени жизни, он его удаляет и сообщает об этом источнику данного пакета специально сформированным пакетом протокола ICMP (фиг.3) [RFC 792, Internet Control Message Protocol, 1981, сентябрь, стр.2-5]. Таким образом, на один удаленный пакет источник пакета получит одно ICMP сообщение от промежуточного маршрутизатора о данном действии, если принято два и более ICMP сообщений от разных промежуточных маршрутизаторов, это означает тиражирование пакетов, что в свою очередь является признаком возможного перехвата передаваемого графика.
На фиг.4 представлена блок-схема последовательности действий, реализующих алгоритм способа защиты ИВС от компьютерных атак. После того как будут сформированы массивы {Р}, {D}, {I}, а также список доверенных адресов отправителей и получателей сообщений (блок 1-3 фиг.4), задают значение допустимого количества ICMP сообщений на пакет удаленный во внешней сети Кдоп=1 (блок 4, фиг.4). Затем формируют проверочный пакет со значением поля временем жизни равным единице, заданными адресами источника и получателя сообщения, запоминают его в массив Pij и передают его в канал связи через внешнюю сеть 2 (блок 5-11, фиг.4). Осуществляется прием ответных пакетов протокола ICMP из канала связи о недоставленном пакете Pij от промежуточного маршрутизатора за время Δt (блок 12-17, фиг.4). Если при подсчете количества ответных пакетов их получено больше чем Кдоп принимается решение о наличии компьютерной атаки (блок 18-20, фиг.4). Иначе производится увеличение значения поля времени жизни пакета на единицу и отправка очередного проверочного пакета (блок 8-11, фиг.4). Проверка наличия компьютерной атаки осуществляется до выполнения условия, при котором проверочный пакет достиг конечного узла назначения (блок 21, фиг.4).
На фиг.1 поясняется порядок передачи проверочных пакетов (ПП) и приема ответных пакетов (ОП) по маршруту, включающему четыре маршрутизатора 2.12-2.15. Первый проверочный пакет ПП 1 со значением поля времени жизни пакета, равным одному переприему, передается по внешней сети 2 до маршрутизатора 2.12, на котором происходит удаление данного пакета и передача ответного пакета ОП 1 источнику, имеющего формат протокола ICMP и содержащего информацию об удаленном пакете.
В случае приема только одного ответного пакета ОП 1 формируется следующий проверочный пакет ПП 2 со значением поля времени жизни пакета, равным двум, т.е. пакет будет удален на втором транзитном маршрутизаторе, и передается по внешней сети 2. На маршрутизаторе 2.13 данный пакет удаляется и передается ответный пакет ОП 2 на ИВС 1.
При приеме только одного ответного пакета ОП 2 формируют следующий проверочный пакет ПП 3 со значением поля времени жизни пакета, равным трем переприемам, и передается по внешней сети 2. На маршрутизаторе 2.14 данный пакет удаляется и передается ответный пакет ОП 3 на ИВС 1.
В случае приема только одного ответного пакета ОП 3 формируется следующий проверочный пакет ПП 4 со значением поля времени жизни пакета, равным четырем переприемам, и передается по внешней сети 2. На маршрутизаторе 2.15 данный пакет удаляется и передается ответный пакет ОП4 на ИВС 1. Кроме того, при перехвате передаваемого трафика с маршрутизатора 2.16, не принадлежащего маршруту передачи проверочных пакетов, будет так же передан ответный пакет ОП 4, содержащий информацию об удаленном пакете ПП 4 на ИВС 1.
При получении двух ответных пакетов ОП 4 выполняется условие K>Kдоп, при котором принимается решение о наличии компьютерной атаки, и прекращается дальнейшая передача проверочных пакетов.
Таким образом, заявленный способ за счет определения информации о ведении всех видов компьютерных атак, в том числе и пассивных, путем передачи проверочных пакетов и анализа ответных пакетов от маршрутизаторов внешней сети, используемых на маршруте передачи пакетов сообщения, позволяет повысить достоверность обнаружения компьютерных атак на информационно-вычислительную сеть.

Claims (1)

  1. Способ защиты информационно-вычислительных сетей от компьютерных атак, заключающийся в том, что формируют массив для запоминания пакетов сообщения и массивы для запоминания параметров, выделенных из запомненных пакетов сообщений, принимают пакет сообщения из канала связи, запоминают его, анализируют запомненный пакет на обнаружение факта наличия или отсутствия компьютерной атаки и принимают решение о наличии компьютерной атаки при выполнении определенного условия, отличающийся тем, что дополнительно формируют список доверенных адресов получателя и отправителя пакетов сообщений, в качестве используемых параметров пакетов сообщений используют поля данных: «IP адрес назначения», «IP адрес источника», которые запоминают в сформированных для них массивах {D}, {I}, затем формируют проверочный пакет, для чего считывают адрес отправителя Di, где i=1, 2,…, и адрес получателя Ij, где j=1, 2,…, из массивов {D}, {I} и записывают их в соответствующие поля проверочного пакета сообщения, записывают в поле «Время жизни пакета» TTL начальное значение, равное единице, после чего запоминают сформированный пакет Pij в массив Р, задают значение количества Кдоп полученных ответных пакетов о недоставленном пакете Pij с текущим значением поля «Время жизни пакета» TTL, затем передают сформированный пакет в канал связи, после запоминания принятых ответных пакетов о недоставленном пакете Pij от промежуточных маршрутизаторов в течение времени Δt для обнаружения факта атаки или ее отсутствия выделяют из ответного пакета значения полей: «IP адрес источника», являющееся адресом промежуточного маршрутизатора, и «Данные», имеющее адреса назначения Di, источника Ii и запоминают их в соответствующих массивах, а также увеличивают количество принятых ответных пакетов К на единицу, затем сравнивают количество принятых ответных пакетов К с заданным значением Кдоп, причем устанавливают факт отсутствия атаки, если выполняется условие К≤Кдоп, при этом формируют следующий проверочный пакет Pij с адресом отправителя Di, получателя Ij и новым значением поля «Время жизни пакета» TTL, которое увеличивают на единицу, и передают сформированный пакет в канал связи, а факт наличия атаки устанавливают, если выполняется условие К>Кдоп.
RU2012116988/08A 2012-04-26 2012-04-26 Способ защиты информационно-вычислительных сетей от компьютерных атак RU2483348C1 (ru)

Priority Applications (1)

Application Number Priority Date Filing Date Title
RU2012116988/08A RU2483348C1 (ru) 2012-04-26 2012-04-26 Способ защиты информационно-вычислительных сетей от компьютерных атак

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
RU2012116988/08A RU2483348C1 (ru) 2012-04-26 2012-04-26 Способ защиты информационно-вычислительных сетей от компьютерных атак

Publications (1)

Publication Number Publication Date
RU2483348C1 true RU2483348C1 (ru) 2013-05-27

Family

ID=48792029

Family Applications (1)

Application Number Title Priority Date Filing Date
RU2012116988/08A RU2483348C1 (ru) 2012-04-26 2012-04-26 Способ защиты информационно-вычислительных сетей от компьютерных атак

Country Status (1)

Country Link
RU (1) RU2483348C1 (ru)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2538292C1 (ru) * 2013-07-24 2015-01-10 Открытое Акционерное Общество "Информационные Технологии И Коммуникационные Системы" Способ обнаружения компьютерных атак на сетевую компьютерную систему
RU2622788C1 (ru) * 2016-04-19 2017-06-20 Федеральное государственное казенное военное образовательное учреждение высшего образования "Академия Федеральной службы охраны Российской Федерации" (Академия ФСО России) Способ защиты информационно-вычислительных сетей от компьютерных атак
RU2805368C1 (ru) * 2023-02-03 2023-10-16 федеральное государственное казенное военное образовательное учреждение высшего образования "Краснодарское высшее военное орденов Жукова и Октябрьской Революции Краснознаменное училище имени генерала армии С.М. Штеменко" Министерства обороны Российской Федерации Способ защиты информационных систем

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2219577C1 (ru) * 2002-04-24 2003-12-20 Военный университет связи Устройство поиска информации
RU2285287C1 (ru) * 2005-04-04 2006-10-10 Военная академия связи Способ защиты информационно-вычислительных сетей от компьютерных атак
US7836496B2 (en) * 2003-05-19 2010-11-16 Radware Ltd. Dynamic network protection
US20110072129A1 (en) * 2009-09-21 2011-03-24 At&T Intellectual Property I, L.P. Icmp proxy device

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2219577C1 (ru) * 2002-04-24 2003-12-20 Военный университет связи Устройство поиска информации
US7836496B2 (en) * 2003-05-19 2010-11-16 Radware Ltd. Dynamic network protection
RU2285287C1 (ru) * 2005-04-04 2006-10-10 Военная академия связи Способ защиты информационно-вычислительных сетей от компьютерных атак
US20110072129A1 (en) * 2009-09-21 2011-03-24 At&T Intellectual Property I, L.P. Icmp proxy device

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2538292C1 (ru) * 2013-07-24 2015-01-10 Открытое Акционерное Общество "Информационные Технологии И Коммуникационные Системы" Способ обнаружения компьютерных атак на сетевую компьютерную систему
RU2622788C1 (ru) * 2016-04-19 2017-06-20 Федеральное государственное казенное военное образовательное учреждение высшего образования "Академия Федеральной службы охраны Российской Федерации" (Академия ФСО России) Способ защиты информационно-вычислительных сетей от компьютерных атак
RU2805368C1 (ru) * 2023-02-03 2023-10-16 федеральное государственное казенное военное образовательное учреждение высшего образования "Краснодарское высшее военное орденов Жукова и Октябрьской Революции Краснознаменное училище имени генерала армии С.М. Штеменко" Министерства обороны Российской Федерации Способ защиты информационных систем

Similar Documents

Publication Publication Date Title
US7926108B2 (en) SMTP network security processing in a transparent relay in a computer network
RU2538292C1 (ru) Способ обнаружения компьютерных атак на сетевую компьютерную систему
Krupp et al. Identifying the scan and attack infrastructures behind amplification DDoS attacks
Ganesh Kumar et al. Improved network traffic by attacking denial of service to protect resource using Z-test based 4-tier geomark traceback (Z4TGT)
KR20060034581A (ko) 네트워크 침입 탐지 및 방지 시스템 및 그 방법
KR20110067264A (ko) 네트워크 이상징후 탐지장치 및 방법
Chang et al. P2P botnet detection using behavior clustering & statistical tests
JPWO2007081023A1 (ja) トラヒック分析診断装置及びトラヒック分析診断システム並びにトラヒック追跡システム
Liu et al. TrustGuard: A flow-level reputation-based DDoS defense system
Garant et al. Mining botnet behaviors on the large-scale web application community
Pour et al. Sanitizing the iot cyber security posture: An operational cti feed backed up by internet measurements
Das et al. Flood control: Tcp-syn flood detection for software-defined networks using openflow port statistics
RU2483348C1 (ru) Способ защиты информационно-вычислительных сетей от компьютерных атак
Pashamokhtari et al. Progressive monitoring of iot networks using sdn and cost-effective traffic signatures
Chen et al. Defense denial-of service attacks on IPv6 wireless sensor networks
RU2472211C1 (ru) Способ защиты информационно-вычислительных сетей от компьютерных атак
KR101488271B1 (ko) Ids 오탐 검출 장치 및 방법
Zeidanloo et al. Botnet detection based on common network behaviors by utilizing artificial immune system (AIS)
RU2531878C1 (ru) Способ обнаружения компьютерных атак в информационно-телекоммуникационной сети
US20210234871A1 (en) Infection-spreading attack detection system and method, and program
RU2628913C1 (ru) Способ обнаружения удаленных атак на автоматизированные системы управления
JP2017212705A (ja) 通信制御装置、通信システム、通信制御方法、及びプログラム
Khalid et al. FAPMIC: Fake packet and selective packet drops attacks mitigation by Merkle hash tree in intermittently connected networks
Gupta et al. Dns amplification based ddos attacks in sdn environment: Detection and mitigation
RU2622788C1 (ru) Способ защиты информационно-вычислительных сетей от компьютерных атак

Legal Events

Date Code Title Description
MM4A The patent is invalid due to non-payment of fees

Effective date: 20140427