RU2509425C1 - Method and apparatus for controlling distributed information system data streams - Google Patents

Method and apparatus for controlling distributed information system data streams Download PDF

Info

Publication number
RU2509425C1
RU2509425C1 RU2012147988/08A RU2012147988A RU2509425C1 RU 2509425 C1 RU2509425 C1 RU 2509425C1 RU 2012147988/08 A RU2012147988/08 A RU 2012147988/08A RU 2012147988 A RU2012147988 A RU 2012147988A RU 2509425 C1 RU2509425 C1 RU 2509425C1
Authority
RU
Russia
Prior art keywords
unit
network
control
switching
output
Prior art date
Application number
RU2012147988/08A
Other languages
Russian (ru)
Inventor
Алексей Александрович Баленко
Ольга Александровна Баленко
Владимир Владимирович Бухарин
Александр Владимирович Кирьянов
Антон Валентинович Нижегородов
Юрий Иванович Стародубцев
Original Assignee
Федеральное государственное казенное военное образовательное учреждение высшего профессионального образования "ВОЕННАЯ АКАДЕМИЯ СВЯЗИ имени Маршала Советского Союза С.М. Буденного" Министерства обороны Российской Федерации
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Федеральное государственное казенное военное образовательное учреждение высшего профессионального образования "ВОЕННАЯ АКАДЕМИЯ СВЯЗИ имени Маршала Советского Союза С.М. Буденного" Министерства обороны Российской Федерации filed Critical Федеральное государственное казенное военное образовательное учреждение высшего профессионального образования "ВОЕННАЯ АКАДЕМИЯ СВЯЗИ имени Маршала Советского Союза С.М. Буденного" Министерства обороны Российской Федерации
Priority to RU2012147988/08A priority Critical patent/RU2509425C1/en
Application granted granted Critical
Publication of RU2509425C1 publication Critical patent/RU2509425C1/en

Links

Images

Abstract

FIELD: radio engineering, communication.
SUBSTANCE: apparatus includes a response stream generating unit, a network configuration control unit, a switching unit, a switching table control unit, a switching table storage unit, an event detecting unit, a dynamic network configuration table control unit.
EFFECT: high security of distributed information systems by changing permitted data transmission routes and performing further analysis of unauthorised access streams by controlling node parameters.
2 cl, 6 dwg

Description

Изобретения объединены единым изобретательским замыслом и относятся к области обеспечения информационной безопасности, а именно к способам и средствам управления потоками данных в защищенных распределенных информационных системах, с целью предотвращения несанкционированного доступа пользователей к сетевым информационным ресурсам и сервисам посредством распределенного контроля устанавливаемых сетевых соединений.The inventions are united by a single inventive concept and relate to the field of ensuring information security, namely, to methods and means of controlling data flows in secure distributed information systems in order to prevent unauthorized users from accessing network information resources and services through distributed control of established network connections.

Известен способ межсетевого экранирования, реализованный в «Устройстве и способе межсетевого экранирования», патент TW 243555, H04L 9/00, опубл. 11.11.2005. Способ заключается в фильтрации нежелательного сетевого трафика путем определения правил фильтрации для протоколов транспортного и сетевого уровней эталонной модели взаимосвязи открытых систем.A known method of firewalling implemented in the "Device and method of firewalling" patent TW 243555, H04L 9/00, publ. 11.11.2005. The method consists in filtering unwanted network traffic by defining filtering rules for the protocols of the transport and network layers of the reference model of the relationship of open systems.

Недостатком известного способа является отсутствие возможности непосредственной связи между протоколами верхнего прикладного уровня и целевыми функциями информационной системы, что усложняет верификацию правил фильтрации. Данный недостаток усугубляется тем, что из правил фильтрации невозможно однозначно определить, какие сетевые взаимодействия могут осуществляться, а какие нет, поскольку это зависит от последовательности событий. Поэтому использование межсетевых экранов для управления потоками данных в распределенных информационных системах и контроля доступа к сетевым сервисам и ресурсам является нецелесообразным.The disadvantage of this method is the lack of direct communication between the protocols of the upper application level and the target functions of the information system, which complicates the verification of filtering rules. This drawback is aggravated by the fact that it is impossible to determine unambiguously from the filtering rules which network interactions can be carried out and which cannot, because it depends on the sequence of events. Therefore, the use of firewalls to control data flows in distributed information systems and to control access to network services and resources is impractical.

Известен также способ обнаружения вторжений по патенту US 7424744, G06F 11/00, опубл. 09.09.2008, «Система и способ обнаружения вторжений, основанных на сигнатурах». Способ заключается в фильтрации принятых пакетов согласно правил фильтрации и сравнении их сигнатур с имеющимися профилями.There is also known a method of detecting intrusions according to the patent US 7424744, G06F 11/00, publ. 09.09.2008, “System and method for detecting intrusions based on signatures”. The method consists in filtering received packets according to filtering rules and comparing their signatures with existing profiles.

Недостатками известного способа являются отсутствие возможности управления потоками данных и осуществление частичной фильтрации потоков данных.The disadvantages of this method are the inability to control data streams and the implementation of partial filtering of data streams.

Известен «Сетевой коммутатор» патент WO 2008077320, H04L 12/28, опубл. 03.07.2008, который осуществляет управление потоками данных в вычислительной сети путем коммутации сетевых пакетов. В сетевом коммутаторе для определения порта назначения передаваемых сетевых пакетов применяется таблица соответствия между портами коммутатора и сетевыми адресами подключенных к ним сетевых устройств.Known "Network switch" patent WO 2008077320, H04L 12/28, publ. 07/03/2008, which manages data flows in a computer network by switching network packets. In the network switch, to determine the destination port of the transmitted network packets, a correspondence table is used between the switch ports and the network addresses of network devices connected to them.

Недостатком известного устройства является коммутация потоков данных без учета требований безопасности и ограничений на доступ.A disadvantage of the known device is the switching of data streams without regard to security requirements and access restrictions.

Известен «Сетевой коммутатор с разграничением доступа» патент WO 2008128085, H04L 12/28, опубл. 23.10.2008, который осуществляет передачу потоков данных в вычислительной сети согласно правил безопасности сетевых пакетов.The well-known "Network switch with access control" patent WO 2008128085, H04L 12/28, publ. 10/23/2008, which transmits data streams in a computer network in accordance with network packet security rules.

Недостатком известного устройства является отсутствие возможности управления потоками данных и контроля доступа к сетевым сервисам и ресурсам на прикладном уровне.A disadvantage of the known device is the inability to control data flows and access control to network services and resources at the application level.

Наиболее близким по технической сущности к предлагаемому способу является «Способ управления потоками данных защищенных распределенных информационных систем в сети шифрованной связи» патент RU №2402881, МПК H04L 9/32, опубл. 27.10.2010 г., бюл. №30. Способ-прототип заключается в следующих действиях: задают таблицу коммутации, определяющую соответствие между портами устройства подключения и сетевыми адресами соединенных с ним устройств, управляют коммутацией сетевых соединений с использованием динамической таблицы коммутации, определяющей разрешенные маршруты передачи потоков данных, выявляют события безопасности в передаваемом потоке данных, временно блокируют поток данных при обнаружении событий безопасности, анализируют обнаруженное событие для принятия решения о допустимости передачи связанного с этим событием потока данных, изменяют динамическую таблицу коммутации в зависимости от правил дополнительно определенной политики безопасности, блокируют поток либо передают его по назначению в зависимости от разрешения динамической таблицей коммутации сетевого взаимодействия, которое реализуется этим потоком данных.Closest to the technical nature of the proposed method is the "Method of managing data streams of secure distributed information systems in an encrypted communication network" patent RU No. 2402881, IPC H04L 9/32, publ. 10/27/2010, bull. No. 30. The prototype method consists in the following actions: set the switching table that defines the correspondence between the ports of the connection device and the network addresses of the devices connected to it, control the switching of network connections using a dynamic switching table that determines the allowed routes for transmitting data streams, and identify security events in the transmitted data stream temporarily block the flow of data when security events are detected, analyze the detected event to decide whether The transmission capabilities of the data stream associated with this event change the dynamic switching table depending on the rules of an additionally defined security policy, block the stream or transmit it as intended depending on the resolution of the network interaction that the dynamic switching table implements by this data stream.

Недостатком способа-прототипа является относительно низкая защищенность распределенной информационной системы, обусловленная тем, что управление потоками данных при возникновении событий безопасности осуществляется только путем их блокирования, что может привести к новым попыткам несанкционированного доступа нарушителем уже с учетом полученной информации о системе защиты распределенной информационной системы.The disadvantage of the prototype method is the relatively low security of the distributed information system, due to the fact that the control of data flows when safety events occur is only by blocking them, which can lead to new attempts of unauthorized access by the intruder, taking into account the information received about the protection system of the distributed information system.

Наиболее близким по своей технической сущности к заявленному устройству является «Средство управления потоками данных защищенных распределенных информационных систем в сети шифрованной связи» патент RU №2402881, МПК H04L 9/32, опубл. 27.10.2010 г., бюл. №30. В ближайшем аналоге (прототипе) управления потоками данных защищенных распределенных информационных систем в сети шифрованной связи содержится блок коммутации, блок запоминания таблицы коммутации (в прототипе указанный блок назван таблицей коммутации), устанавливающей соответствие между портами средства и сетевыми адресами соединенных с ним устройств; в средство дополнительно включены блок детектирования событий, блок управления динамической таблицей коммутации и центр управления доступом, содержащий модуль политики безопасности и блок контроля доступа; при этом в состав блока коммутации включена динамическая таблица коммутации, определяющая разрешенные маршруты передачи данных на основании которой осуществляется сетевая коммутация, к блоку коммутации подключен блок детектирования событий, связанный с блоком управления динамической таблицей коммутации, который, в свою очередь, подключен к центру управления доступом, содержащему блок детектирования событий и модуль политики безопасности.The closest in technical essence to the claimed device is "Means of controlling data flows of protected distributed information systems in an encrypted communication network" patent RU No. 2402881, IPC H04L 9/32, publ. 10/27/2010, bull. No. 30. The closest analogue (prototype) of data flow control of protected distributed information systems in an encrypted communication network contains a switching unit, a storage unit for the switching table (the specified unit is called a switching table in the prototype), which establishes a correspondence between the ports of the facility and the network addresses of devices connected to it; the tool further includes an event detection unit, a dynamic switching table control unit and an access control center comprising a security policy module and an access control unit; at the same time, a dynamic switching table is included in the switching unit, which determines the allowed data transfer routes on the basis of which network switching is carried out, an event detection unit connected to the dynamic switching table control unit, which, in turn, is connected to the access control center, is connected to the switching unit containing an event detection unit and a security policy module.

Недостатком средства-прототипа является относительно низкая защищенность распределенной информационной системы, обусловленная тем, что управление потоками данных при возникновении событий безопасности осуществляется только путем их блокирования, что может привести к новым реализациям несанкционированного доступа нарушителем уже с учетом полученной информации о системе защиты распределенной информационной системы.The disadvantage of the prototype tool is the relatively low security of the distributed information system, due to the fact that the control of data flows when security events occur is only possible by blocking them, which can lead to new unauthorized access by the intruder, taking into account the information received about the protection system of the distributed information system.

Целью заявленных технических решений является разработка способа и устройства управления потоками данных распределенной информационной системы, обеспечивающих повышение защищенности распределенных информационных систем за счет изменения разрешенных маршрутов передачи потоков данных и осуществления дополнительного анализа потоков несанкционированного доступа путем управления параметрами (адресами и портами) узлов, а также введения узлов дополнительного анализа.The purpose of the claimed technical solutions is to develop a method and device for managing data flows of a distributed information system, which increase the security of distributed information systems by changing the allowed routes for transmitting data flows and performing additional analysis of unauthorized access flows by controlling the parameters (addresses and ports) of nodes, as well as introducing nodes of additional analysis.

В заявленном способе поставленная цель достигается тем, что в известном способе управления потоками данных защищенных распределенных информационных систем, заключающемся в том, что в распределенной информационной системе, содержащей узел анализа, блок анализа и центр управления доступом предварительно задают таблицу коммутации, определяющую соответствие между портами подключения к сети и сетевыми адресами соединенных с сетью узлов сети, а также задают параметры распределенной информационной системы, выявляют события безопасности в принимаемом потоке данных, анализируют их с целью принятия решения о допустимости передачи потока данных, связанного с этим событием, и, при допустимости передачи потока данных, его передают по назначению, дополнительно задают динамическую таблицу конфигурации распределенной информационной системы, определяющую порядок изменения параметров входящих в нее узлов сети. Кроме того, при выявлении событий безопасности в принятом потоке данных сравнивают его с разрешенными потоками в соответствии с таблицей коммутации и при их несовпадении формируют ответный поток для уточнения события безопасности. Затем передают его для дополнительного анализа, для чего выделяют из этого потока сетевые адреса и номера портов в соответствии с динамической таблицей конфигурации и сравнивают их значения с предварительно заданными параметрами распределенной информационной системы. При их совпадении формируют новый безопасный маршрут передачи, для чего присваивают сетевым узлам распределенных информационных систем новые адреса и номера портов. После чего корректируют таблицу коммутации и динамическую таблицу конфигурации. При несовпадении параметров сетевых узлов формируют повторный ответный поток данных с выделенными сетевыми адресами и номерами портов.In the claimed method, the goal is achieved by the fact that in the known method of managing data flows of protected distributed information systems, namely, in a distributed information system containing an analysis node, an analysis unit and an access control center, a switching table is predetermined that defines the correspondence between the connection ports to the network and network addresses of network nodes connected to the network, and also set the parameters of the distributed information system, identify security events in the received data stream, analyze them in order to decide on the admissibility of the data stream transmission associated with this event, and, if the data stream is permissible, it is transmitted as intended, in addition, a dynamic configuration table of the distributed information system is defined that determines the order of change of the parameters included in it network nodes. In addition, when detecting security events in a received data stream, it is compared with allowed streams in accordance with the switching table, and if they do not match, a response stream is generated to clarify the security event. Then it is transmitted for additional analysis, for which network addresses and port numbers are extracted from this stream in accordance with the dynamic configuration table and their values are compared with predefined parameters of the distributed information system. When they coincide, they form a new secure transmission route, for which they assign new addresses and port numbers to the network nodes of the distributed information systems. Then correct the switching table and the dynamic configuration table. If the parameters of the network nodes do not match, a repeated response data stream is formed with the allocated network addresses and port numbers.

Поставленная цель в заявленном устройстве достигается тем, что в известном устройстве управления потоками данных защищенных распределенных информационных систем, содержащем блок коммутации, блок запоминания таблицы коммутации, определяющей соответствие между портами подключения к сети и сетевыми адресами соединенных с сетью узлов сети, блок детектирования событий, блок управления таблицей коммутации, первый информационный вход блока коммутации является входом потока данных устройства, а первый информационный выход блока коммутации подключен к узлам сети, второй управляющий выход блока коммутации соединен с блоком детектирования событий, выход которого соединен с управляющим входом блока управления таблицей коммутации, выход которого соединен с управляющим входом блока запоминания таблицы коммутации, а выход которого соединен с вторым информационным входом блока коммутации, дополнительно введены модуль управления конфигурацией сети, состоящий из блока сравнения параметров, блока формирования сигналов изменений конфигурации сети и блока запоминания динамической таблицы конфигурации сети, модуль формирования ответного потока, состоящий из блока передачи ответного потока, блока считывания адресов и портов, блок управления динамической таблицей конфигурации сети, определяющей порядок изменения параметров узлов сети. Первый информационный вход блока сравнения параметров соединен с информационным выходом блока коммутации, а второй информационный вход соединен с информационным выходом блока запоминания динамической таблицы конфигурации сети. Первый и второй управляющие выходы блока сравнения параметров соединены с управляющими входами соответственно блока коммутации и блока формирования сигналов изменений конфигурации сети. Второй информационный вход блока формирования сигналов изменений конфигурации сети соединен с информационным выходом блока запоминания динамической таблицы конфигурации сети, а информационный выход блока формирования сигналов изменений конфигурации сети соединен с узлами сети. Управляющий вход блока управления динамической таблицы конфигурации сети соединен с управляющим выходом блока детектирования событий, управляющий выход блока управления динамической таблицей конфигурации сети соединен с входом блока запоминания динамической таблицы конфигурации сети, информационный выход которого соединен с информационным входом блока считывания адресов и портов, информационный выход которого соединен с блоком передачи ответного потока, информационного выход которого является выходом ответного потока данных устройства.The goal in the claimed device is achieved by the fact that in the known device for managing data flows of protected distributed information systems containing a switching unit, a storage unit for a switching table that defines the correspondence between network connection ports and network addresses of network nodes connected to a network, an event detection unit, a unit control table switching, the first information input of the switching unit is the input of the data stream of the device, and the first information output of the switching unit and connected to network nodes, the second control output of the switching unit is connected to an event detecting unit, the output of which is connected to the control input of the switching table control unit, the output of which is connected to the control input of the switching table storage unit, and the output of which is connected to the second information input of the switching unit, additionally introduced a network configuration management module, consisting of a unit for comparing parameters, a unit for generating signals of network configuration changes and a dynamic memory unit network configuration table, a module for generating a response stream, consisting of a block for transmitting a response stream, a unit for reading addresses and ports, a control unit for a dynamic table of a network configuration that determines the procedure for changing the parameters of network nodes. The first information input of the parameter comparison unit is connected to the information output of the switching unit, and the second information input is connected to the information output of the storage unit of the dynamic network configuration table. The first and second control outputs of the parameter comparison unit are connected to the control inputs of the switching unit and the signal generating unit of the network configuration changes, respectively. The second information input of the network configuration change signal generation unit is connected to the information output of the storage unit of the dynamic network configuration table, and the information output of the network configuration change signal generation unit is connected to network nodes. The control input of the control unit of the dynamic network configuration table is connected to the control output of the event detection unit, the control output of the control unit of the dynamic network configuration table is connected to the input of the storage unit of the dynamic network configuration table, the information output of which is connected to the information input of the address and port reading unit, the information output of which connected to the transmission block of the response stream, the information output of which is the output of the response data stream roystva.

Благодаря новой совокупности существенных признаков в заявленных способе и устройстве достигается указанный технический результат за счет изменения разрешенных маршрутов передачи потоков данных и осуществление дополнительного анализа потоков несанкционированного доступа путем управления параметрами (адресами и портами) узлов, а также введение узлов дополнительного анализа.Thanks to the new set of essential features in the claimed method and device, the specified technical result is achieved by changing the allowed routes for transmitting data streams and performing additional analysis of unauthorized access flows by controlling the parameters (addresses and ports) of the nodes, as well as introducing additional analysis nodes.

Заявленный способ поясняется чертежами, на которых показаны:The claimed method is illustrated by drawings, which show:

на фиг.1 - схема распределенной информационной системы (РИС);figure 1 - diagram of a distributed information system (RIS);

на фиг.2 - схема, поясняющая порядок формирования сетевых адресов в потоке данных в зависимости от событий безопасности;figure 2 is a diagram explaining the formation of network addresses in the data stream depending on security events;

на фиг.3 - схема, поясняющая порядок формирования безопасного маршрута в зависимости от событий безопасности;figure 3 is a diagram explaining the formation of a safe route depending on security events;

на фиг.4 - структура заголовка TCP-пакетов сообщений;4 is a header structure of TCP message packets;

на фиг.5 - блок-схема алгоритма способа управления потоками данных распределенной информационной системы;figure 5 is a flowchart of a method for controlling data streams of a distributed information system;

на фиг.6 - структурная схема устройства управления потоками данных.6 is a structural diagram of a data flow control device.

Реализацию заявленного способа можно пояснить на схеме распределенных информационных систем, показанной на фиг.1.The implementation of the claimed method can be explained on the diagram of distributed information systems, shown in figure 1.

Распределенная информационная система 2 подключена к внешней сети посредством блока анализа. В общем случае распределенная информационная система 2 представляет собой совокупность сетевых узлов 2.11-2.1N (маршрутизаторов, концентраторов, коммутаторов, ПЭВМ) [В.Г.Олифер, Н.А.Олифер. Компьютерные сети. Принципы, технологии, протоколы (3-е издание). - Спб. - 2009 г., стр.57], центра управления доступом 3, блока анализа 4, узла дополнительного анализа 5, объединенных физическими линиями связи. Все эти элементы имеют идентификаторы, в качестве которых в наиболее распространенном стеке протоколов TCP/IP используются сетевые адреса (IР-адреса). Внешняя сеть представлена набором маршрутизаторов, осуществляющих транспортировку информационных потоков из одной РИС в другую. Информационным потоком, или потоком данных, называют непрерывную последовательность данных объединенных набором общих признаков, выделяющих их из общего сетевого трафика [В.Г.Олифер, Н.А.Олифер. Компьютерные сети. Принципы, технологии, протоколы (3-е издание). - Спб. - 2009 г., стр.65].Distributed information system 2 is connected to an external network through an analysis unit. In general, distributed information system 2 is a collection of network nodes 2.1 1 -2.1 N (routers, hubs, switches, PCs) [V.G. Olifer, N.A. Olifer. Computer networks. Principles, technologies, protocols (3rd edition). - SPb. - 2009, p. 57], access control center 3, analysis unit 4, additional analysis unit 5, united by physical communication lines. All these elements have identifiers, for which network addresses (IP addresses) are used in the most common TCP / IP protocol stack. An external network is represented by a set of routers that transport information flows from one RIS to another. An information stream, or data stream, is called a continuous sequence of data united by a set of common features that distinguish them from the general network traffic [V.G. Olifer, N.A. Olifer. Computer networks. Principles, technologies, protocols (3rd edition). - SPb. - 2009, p. 65].

Кроме этого, центр управления доступом 3 обрабатывает событие безопасности при получении от блока анализа 4 оповещения о наличии в информационном потоке события безопасности. Под событием безопасности понимается операция или действие, совершенное пользователем или программой, приводящее к изменению потоков данных в распределенной информационной системе. Событием безопасности является идентифицированное появление определенного состояния системы, сервиса или сети, указывающего на возможное нарушение политики безопасности или на отказ защитных мер, или возникновение неизвестной ранее ситуации, которая может иметь отношение к безопасности [ГОСТ Р ИСО/МЭК 18044-2007, Информационная технология. Методы и средства обеспечения безопасности. Менеджмент инцидентов информационной безопасности, стр.2].In addition, the access control center 3 processes the security event upon receipt of a notification from the analysis unit 4 about the presence of a security event in the information flow. A security event is understood as an operation or action performed by a user or a program, leading to a change in data flows in a distributed information system. A security event is the identified occurrence of a certain state of a system, service or network, indicating a possible violation of security policy or a failure of protective measures, or the occurrence of a previously unknown situation that may be related to security [GOST R ISO / IEC 18044-2007, Information technology. Security methods and tools. Information Security Incident Management, p.2].

Далее блок анализа 4 осуществляет изменение динамической таблицы коммутации в соответствии с общесистемной политикой безопасности и направляет нелегитимный информационный поток на узел дополнительного анализа 5. Узел дополнительного анализа 5 осуществляет изменение динамической таблицы конфигурации и формирует ответный информационной поток.Next, the analysis unit 4 performs the change of the dynamic switching table in accordance with the system-wide security policy and sends the illegitimate information stream to the additional analysis node 5. The additional analysis node 5 changes the dynamic configuration table and generates a response information stream.

Структура пакетов сообщений известна, как известен и принцип передачи пакетов в вычислительных сетях. Например, на фиг.2 представлена структура заголовка ТСР-пакетов сообщений, где выделены поля: портов источника и портов получателя пакета сообщений [RFC-793, Transmission Control Protocol 1981, сентябрь, стр.8-12]. Пакеты, поступающие на транспортный уровень, организуются операционной системой в виде множества очередей к точкам входа различных прикладных процессов. В терминологии TCP/IP системные очереди называются портами. Для однозначной идентификации портов им присваиваются номера портов.The structure of message packets is known, as is the principle of packet transmission in computer networks. For example, figure 2 shows the header structure of the TCP message packets, where the fields are highlighted: source ports and receiver ports of the message packet [RFC-793, Transmission Control Protocol 1981, September, pp. 8-12]. Packets arriving at the transport layer are organized by the operating system in the form of multiple queues to the entry points of various application processes. In TCP / IP terminology, system queues are called ports. For unambiguous identification of ports, port numbers are assigned to them.

Номера портов используются для адресации приложений, если процессы представляют собой популярные общедоступные службы, такие как FTP, telnet, HTTP, TFTP, DNS и т.д., то за ними закрепляются стандартные, назначенные номера, также называемые номерами портов (Фиг.2). Для некоторых приложений номера портов назначаются операционной системой локально в ответ на поступление запроса от приложения [В.Г.Олифер, Н.А.Олифер. Компьютерные сети. Принципы, технологии, протоколы (3-е издание). - Спб. - 2009 г., стр.653].Port numbers are used to address applications, if the processes are popular public services, such as FTP, telnet, HTTP, TFTP, DNS, etc., then they are assigned standard, assigned numbers, also called port numbers (Figure 2) . For some applications, port numbers are assigned by the operating system locally in response to a request from the application [V.G. Olifer, N.A. Olifer. Computer networks. Principles, technologies, protocols (3rd edition). - SPb. - 2009, p. 653].

При прохождении информационного потока через внешнюю сеть осуществляется его маршрутизация от источника к получателю в соответствии с IР-адресом назначения. Пара, состоящая из номера сети и номера узла является сетевым адресом. В технологии TCP/IP сетевой адрес называют IP-адрес [В.Г.Олифер, Н.А.Олифер. Компьютерные сети. Принципы, технологии, протоколы (3-е издание). - Спб. - 2009 г., стр.653].When an information stream passes through an external network, it is routed from a source to a recipient in accordance with the destination IP address. A pair consisting of a network number and a node number is a network address. In TCP / IP technology, a network address is called an IP address [V. G. Olifer, N. A. Olifer. Computer networks. Principles, technologies, protocols (3rd edition). - SPb. - 2009, p. 653].

На фиг.5 представлена блок-схема последовательности действий, реализующих алгоритм способа управления потоками данных РИС.Figure 5 presents a block diagram of a sequence of actions that implement the algorithm of the method of controlling data flows FIG.

Первоначально формируют таблицу коммутации М и динамическую таблицу конфигурации К согласно общесистемной политики безопасности (блок 1, Фиг.5). В таблице коммутации локальному или глобальному признаку (признакам) потока (например, адресу назначения) ставят в соответствие номер порта, на который узел сети должен передавать данные, относящиеся к этому потоку [В.Г.Олифер, Н.А.Олифер. Компьютерные сети. Принципы, технологии, протоколы (3-е издание). - Спб. - 2009 г., стр.69]. В динамическую таблицу конфигурации входят две таблицы, причем в первой таблице номеру события безопасности ставят в соответствие значения адресов сетевых узлов и номера портов (Фиг.3), а во второй формируют к требуемому узлу сети безопасный маршрут в соответствии с номером события безопасности (фиг.4). После того как будут сформированы таблица коммутации М и динамическая таблица конфигурации К, осуществляется прием IР-пакетов потока данных Р (блок 2, Фиг.5).Initially, a switching table M and a dynamic configuration table K are formed according to the system-wide security policy (block 1, FIG. 5). In the switching table, the local or global sign (s) of the stream (for example, destination address) is assigned the port number to which the network node must transmit data related to this stream [V.G. Olifer, N.A. Olifer. Computer networks. Principles, technologies, protocols (3rd edition). - SPb. - 2009, p. 69]. The dynamic configuration table includes two tables, and in the first table the security event numbers are assigned the values of the addresses of network nodes and port numbers (Fig. 3), and in the second table, a safe route is formed to the required network node in accordance with the number of security events (Fig. four). After the switching table M and the dynamic configuration table K are generated, IP packets of the data stream P are received (block 2, FIG. 5).

Затем, осуществляют проверку принятого потока данных Р в блоке анализа на разрешение запрашиваемого взаимодействия с узлом сети РИС согласно таблицы коммутации (блоки 3, Фиг.5). Если передача потока данных Р разрешена таблицей коммутации, то его передают по назначению согласно таблицы коммутации на запрашиваемый узел сети РИС (блок 4, Фиг.5). Если таблицей коммутации запрещена передача потока данных Р на запрашиваемый узел сети, то блок анализа 4 передает поток данных Р на узел дополнительного анализа 5, где из потока данных Р выделяют сетевые адреса S и номера портов R и (блок 5-6, Фиг.5).Then, they verify the received data stream P in the analysis unit to resolve the requested interaction with the RIS network node according to the switching table (blocks 3, FIG. 5). If the transmission of the data stream P is allowed by the switching table, then it is transmitted according to the purpose according to the switching table to the requested RIS network node (block 4, FIG. 5). If the switching table does not allow the transmission of the data stream P to the requested network node, then the analysis unit 4 transfers the data stream P to the additional analysis node 5, where the network addresses S and port numbers R and are allocated from the data stream P (block 5-6, FIG. 5 )

Далее на узле дополнительного анализа осуществляют проверку наличия в РИС выделенных из информационного потока Р сетевых адресов S и соответствующих им номеров портов R (блок 6-7, Фиг.5). Если сетевые адреса S и соответствующие им номера портов R существуют в РИС, то для данных узлов в соответствии с номером события безопасности определяются новые сетевые адреса и номера портов согласно динамической таблицы конфигурации К (блок 8, Фиг.5). Далее присваивают новые параметры S, R узлам сети РИС (блок 9, Фиг.5). После чего формируют безопасный маршрут согласно таблицы конфигурации К (Фиг.4), для чего каждому узлу связи РИС в зависимости от номера события безопасности определяют соответствующий маршрут L передачи информационного потока (блок 10, Фиг.5). На фиг.1 жирной линией показан исходный маршрут 52, S3, S4 передачи информационных потоков при отсутствии событий безопасности, а новый безопасный маршрут показан пунктирной линией и включает в себя узлы сети S1, S6, S7.Next, on the additional analysis node, they check for the presence in the RIS of the network addresses S allocated from the information stream P and the corresponding port numbers R (block 6-7, FIG. 5). If the network addresses S and the corresponding port numbers R exist in the FIG, then for these nodes, in accordance with the number of the security event, new network addresses and port numbers are determined according to the dynamic configuration table K (block 8, Fig. 5). Next, new parameters S, R are assigned to the nodes of the FIG network (block 9, FIG. 5). After that, a secure route is formed according to the configuration table K (Figure 4), for which each communication node RIS, depending on the number of security events, determines the corresponding transmission route L of the information stream (block 10, Figure 5). 1, the initial route 52, S3, S4 of information flow transmission in the absence of security events is shown in bold, and the new secure route is shown by the dashed line and includes network nodes S1, S6, S7.

Далее вносят изменения в динамическую таблицу конфигурации К и таблицу коммутации М (блоки 11-12 Фиг.5) путем во-первых изменения используемых сетевых адресов S и соответствующих им номеров портов R на новые и во-вторых исключения из первой таблицы использовавшихся вариантов конфигурации сети. Затем формируют ответный поток F для уточнения события безопасности.Next, changes are made to the dynamic configuration table K and the switching table M (blocks 11-12 of Fig. 5) by first changing the used network addresses S and the corresponding port numbers R to new ones and secondly, deleting the network configuration options used from the first table . Then, a response stream F is generated to clarify the security event.

Описанный выше способ управления потоками данных распределенной информационной системы реализуется с помощью устройства управления потоками данных распределенной информационной системы.The method for managing data flows of a distributed information system described above is implemented using a data flow control device of a distributed information system.

Устройство, структурная схема которого показана на фиг.6, состоит из взаимосвязанных между собой блока коммутации (БК) 4, блока запоминания таблицы коммутации (БЗТК) 3, определяющей соответствие между портами подключения к сети и сетевыми адресами соединенных с сетью узлов сети, модуля управления конфигурацией сети (МУКС) 2, состоящего из блока запоминания динамической таблицы конфигурации сети (БЗДТК) 2.1, определяющей порядок изменения параметров узлов сети, блока сравнения параметров (БСП) 2.2, блока формирования сигналов изменений конфигурации сети (БФСИКС) 2.3, блока детектирования событий (БДС) 5, блока управления таблицей коммутации (БУТК) 7, блока управления динамической таблицей конфигурации сети (БУДТКС) 6, модуля формирования ответного потока (МФОП) 1, состоящего из блока считывания адресов и портов (БСАП) 1.2, блока передачи ответного потока (БПОП) 1.1.The device, the structural diagram of which is shown in Fig.6, consists of interconnected switching unit (BC) 4, the memory unit of the switching table (BZTK) 3, which determines the correspondence between the ports of the network connection and the network addresses of network nodes connected to the network, the control module network configuration (MUKS) 2, consisting of a unit for storing a dynamic table of network configuration (BZDTK) 2.1, which determines the order of changing the parameters of network nodes, a unit for comparing parameters (BSP) 2.2, a unit for generating signals of configuration changes network network (BFSIKS) 2.3, an event detection unit (BDS) 5, a switching table control unit (BUTC) 7, a dynamic network configuration table control unit (BUDTKS) 6, a response stream generation module (MFOP) 1, consisting of an address reading unit and Ports (BSAP) 1.2, Response Stream Transmission Unit (BPOS) 1.1.

Первый информационный вход БК 4 является входом потока данных устройства, а первый информационный выход БК 4 подключен к узлам сети, второй управляющий выход БК 4 соединен с БДС 5, выход которого соединен с управляющим входом БУТК 7, выход которого соединен с управляющим входом БЗТК 3, а выход которого соединен с вторым информационным входом БК 4. Первый информационный вход БСП 2.2 соединен с информационным выходом БК 4, а второй информационный вход БСП 2.2 соединен с информационным выходом БЗДТКС 2.1. Первый и второй управляющие выходы БСП 2.2 соединены с управляющими входами соответственно БК 4 и БФСИКС 2.3. Второй информационный вход БФСИКС 2.3 соединен с информационным выходом БЗДТК 2.1, а информационный выход БФСИКС 2.3 соединен с узлами сети 2.11 - 2.1N. Управляющий вход БУДТКС 6 соединен с управляющим выходом БДС 5, управляющий выход БУДТКС 6 соединен с входом БЗДТКС 2.1, информационный выход которого соединен с информационным входом БСАП 1.2, информационный выход которого соединен с БПОП 1.1, информационного выход которого является выходом ответного потока данных устройства.The first information input of BK 4 is the input of the data stream of the device, and the first information output of BK 4 is connected to network nodes, the second control output of BK 4 is connected to BDS 5, the output of which is connected to the control input of BUTK 7, the output of which is connected to the control input of BZTK 3, and the output of which is connected to the second information input of BC 4. The first information input of BSP 2.2 is connected to the information output of BC 4, and the second information input of BSP 2.2 is connected to the information output of BZDTKS 2.1. The first and second control outputs of the BSP 2.2 are connected to the control inputs of the BC 4 and BFSIKS 2.3, respectively. The second information input BFSIX 2.3 is connected to the information output of the BZDTK 2.1, and the information output BFSICS 2.3 is connected to the nodes of the network 2.1 1 - 2.1 N. The control input of the BUDTKS 6 is connected to the control output of the BDS 5, the control output of the BUDTKS 6 is connected to the input of the BZDTKS 2.1, the information output of which is connected to the information input of the BSAP 1.2, the information output of which is connected to the BPO 1.1, the information output of which is the output of the response data stream of the device.

МФОП 1 предназначен для формирования ответного потока на информационный поток, вызвавший событие безопасности. МФОП 1 состоит из БПОП 1.1 и БСАП 1.2.MOPOP 1 is designed to generate a response flow to the information flow that caused the security event. MFOP 1 consists of BOPO 1.1 and BSAP 1.2.

БСАП 1.2 предназначен для приема данных о текущих сетевых адресах и номерах портов, зафиксированных при событии безопасности. БСАП 1.2 может быть реализован в виде блока селекции, приведенного в патенте RU №2313128, МПК G06F 17/30, опубл. 20.12.2007 г., бюл. №35.BSAP 1.2 is designed to receive data on current network addresses and port numbers recorded during a security event. BSAP 1.2 can be implemented in the form of a selection block described in patent RU No. 2313128, IPC G06F 17/30, publ. December 20, 2007, bull. Number 35.

БПОП 1.1 предназначен для формирования пакетов, составляющих ответный поток. БПОП 1.1 может быть реализован в виде цифроаналогового преобразователя, описанного в литературе [Вениаминов В.Н., Лебедев О.Н. и др. Микросхемы и их применение. Справочное пособие, 3-е изд. М., «Радио и связь», 1989 г. - 167 с.].BPOP 1.1 is intended for the formation of packets that make up the response stream. BPOP 1.1 can be implemented as a digital-to-analog converter, described in the literature [Veniaminov V.N., Lebedev O.N. and other microcircuits and their application. Handbook, 3rd ed. M., "Radio and Communications", 1989 - 167 p.].

МУКС 2 предназначен для управления информационными потоками и изменения маршрутов передачи за счет управления параметрами узлов. МУКС 2 состоит из БЗДТКС 2.1, БСП 2.2 и БФСИКС 2.3.MUKS 2 is designed to control information flows and change transmission routes by controlling the parameters of nodes. MUKS 2 consists of BZDTKS 2.1, BSP 2.2 and BFSIKS 2.3.

БЗДТКС 2.1 предназначен для записи данных о порядке изменения параметров узлов сети. БЗДТКС 2.1 может быть реализован с помощью постоянных запоминающих устройств, описанных в литературе [Вениаминов В.Н., Лебедев О.Н. и др. Микросхемы и их применение. Справочное пособие, 3-е изд. М., «Радио и связь», 1989 г. - 152, 159 с.].BZDTKS 2.1 is designed to record data on the procedure for changing the parameters of network nodes. BZDTKS 2.1 can be implemented using permanent storage devices described in the literature [Veniaminov VN, Lebedev ON and other microcircuits and their application. Handbook, 3rd ed. M., "Radio and Communications", 1989 - 152, 159 pp.].

БСП 2.2 предназначен для сравнения параметров входящего потока данных с существующими в РИС. БСП 2.2 может быть реализован на устройствах сравнения, известных и широко освещенных в литературе [Вениаминов В.Н., Лебедев О.Н. и др. Микросхемы и их применение. Справочное пособие, 3-е изд. М., «Радио и связь», 1989 г. - 235 с.].BSP 2.2 is designed to compare the parameters of the incoming data stream with those existing in the FIG. BSP 2.2 can be implemented on comparison devices known and widely covered in the literature [Veniaminov VN, Lebedev ON and other microcircuits and their application. Handbook, 3rd ed. M., "Radio and Communications", 1989 - 235 p.].

БФСИКС 2.3 предназначен для преобразования данных о измененных сетевых адресах и номерах портов и передачи их на узлы распределенной информационной системы. БФСИКС 2.3 может быть реализован в виде цифроаналогового преобразователя, описанного в литературе [Вениаминов В.Н., Лебедев О.Н. и др. Микросхемы и их применение. Справочное пособие, 3-е изд. М., «Радио и связь», 1989 г. - 167 с.].BFSIKS 2.3 is designed to convert data on changed network addresses and port numbers and transfer them to the nodes of a distributed information system. BFSIKS 2.3 can be implemented as a digital-to-analog converter described in the literature [Veniaminov VN, Lebedev ON and other microcircuits and their application. Handbook, 3rd ed. M., "Radio and Communications", 1989 - 167 p.].

БЗТК 3 предназначен для записи данных соответствия между портами подключения к сети и сетевыми адресами соединенных с сетью узлов сети. БЗТК 3 может быть реализован с помощью постоянных запоминающих устройств, описанных в литературе [Вениаминов В.Н., Лебедев О.Н. и др. Микросхемы и их применение. Справочное пособие, 3-е изд. М., «Радио и связь», 1989 г. - 152,159 с.].BZTK 3 is intended for recording correspondence data between network connection ports and network addresses of network nodes connected to the network. BZTK 3 can be implemented using read-only memory devices described in the literature [Veniaminov V.N., Lebedev O.N. and other microcircuits and their application. Handbook, 3rd ed. M., "Radio and Communications", 1989 - 152,159 p.].

БК 4 предназначен для управления информационными потоками в соответствии с таблицей коммутации, определяющей соответствие между портами подключения к сети и сетевыми адресами соединенных с сетью узлов сети, и динамической таблицей конфигурации сети, определяющей порядок изменения параметров входящих в нее узлов сети. БК 4 может быть реализован как блок селекции, описанный в патенте RU №2313128, МПК G06F 17/30, опубл. 20.12.2007 г., бюл. №35.BC 4 is designed to control information flows in accordance with the switching table, which determines the correspondence between the network connection ports and the network addresses of network nodes connected to the network, and the dynamic network configuration table, which determines the order in which the parameters of the network nodes included in it are changed. BK 4 can be implemented as a selection block described in patent RU No. 2313128, IPC G06F 17/30, publ. December 20, 2007, bull. Number 35.

БДС 5 предназначен для фиксации события безопасности. БДС 5 может быть реализован в виде устройств индикации, известных и широко освещенных в литературе (Вениаминов В.Н. и др. Микросхемы и их применение. Справочное пособие, 3-е изд. М., «Радио и связь», 1989 г.- 235 с.).BDS 5 is designed to record a security event. BDS 5 can be implemented in the form of indicating devices, well-known and widely covered in the literature (Veniaminov V.N. et al. Microcircuits and their application. Reference manual, 3rd ed. M., Radio and Communication, 1989 - 235 p.).

БУДТКС 6 предназначен для изменения данных, записанных в БЗДТКС 2.1 путем запрета передачи информационных потоков по маршрутам, состоящих из сетевых адресов и соответствующих им номеров портов, которые были определены при фиксации события безопасности. БУДТКС 6 может быть реализован в виде микропроцессоров (устройств управления памятью), известных и широко освещенных в литературе (Вениаминов В.Н. и др. Микросхемы и их применение. Справочное пособие, 3-е изд. М., «Радио и связь», 1989 г. - 161-165 с.).BUDTKS 6 is designed to change the data recorded in BZDTKS 2.1 by prohibiting the transmission of information flows along routes consisting of network addresses and the corresponding port numbers that were determined when the security event was recorded. BUDTKS 6 can be implemented in the form of microprocessors (memory management devices), well-known and widely covered in the literature (Veniaminov V.N. et al. Chips and their application. Reference manual, 3rd ed. M., “Radio and communications” , 1989 - 161-165 s.).

БУТК 7 предназначен для изменения данных, записанных в БЗТК 3 путем запрета использования сетевых адресов и соответствующих им номеров портов, которые были определены при фиксации события безопасности. БУТК 7 может быть реализован в виде микропроцессоров (устройств управления памятью), известных и широко освещенных в литературе (Вениаминов В.Н. и др. Микросхемы и их применение. Справочное пособие, 3-е изд. М., «Радио и связь», 1989 г. - 161-165 с.).BUTK 7 is designed to change the data recorded in the BZTK 3 by prohibiting the use of network addresses and the corresponding port numbers that were determined when the security event was recorded. BUTK 7 can be implemented in the form of microprocessors (memory management devices), well-known and widely covered in the literature (Veniaminov VN et al. Chips and their application. Reference manual, 3rd ed. M., “Radio and communication” , 1989 - 161-165 s.).

Заявленное устройство работает следующим образом, на первый вход БК 4 поступает поток данных, который посредством соответствующего управляющего воздействия передает на его первый выход, который соединен с узлами сети. Второй выход БК 4 соединен с БДС 5, выход которого соединен с БУТК 7, с выхода которого выдаются команды на вход БЗТК 3 на ее изменение, а на второй и третий входы с БЗТК 3 и БЗДТКС 2.1 соответственно поступают данные, определяющие соответствие между портами подключения к сети и сетевыми адресами соединенных с сетью узлов сети, а также определяющие порядок изменения параметров узлов сети, после сравнения осуществляется выдача управляющих воздействий на первый, второй выходы, которые соединены с БК 4 и с БФСИКС 2.3 соответственно. Второй выход БФСИКС 2.3 соединен с БЗДТКС 2.1, а выход его соединен с узлами сети, с которого передаются изменения параметров узлов сети, записанные в БЗДТКС 2.1. По управляющему воздействию БСП 2.2, на вход БУДТКС 6 с БДС 5 поступает управляющее воздействие о выявлении события безопасности, по которому с выхода БУДТКС 6 на вход БЗДТКС 2.1 поступает управляющее воздействие о формировании нового безопасного маршрута передачи, выход БЗДТКС 2.1 соединен с БСАП 1.2, с которого он считывает выделенные сетевые адреса и номера портов, выход которого соединен с БПОП 1.1, с выхода которого передается ответный поток данных с использованием полученных текущих сетевых адресов и номеров портов.The claimed device operates as follows, the first input of the BC 4 receives a data stream, which, through the appropriate control action, transfers to its first output, which is connected to the network nodes. The second output of BK 4 is connected to BDS 5, the output of which is connected to BUTK 7, from the output of which commands are issued to the input of BZTK 3 to change it, and the second and third inputs from BZTK 3 and BZDTKS 2.1 respectively receive data determining the correspondence between the connection ports to the network and network addresses of network nodes connected to the network, as well as determining the order of changing the parameters of network nodes, after comparison, control actions are issued to the first and second outputs, which are connected to BC 4 and BFSIKS 2.3, respectively. The second output of BFSIKS 2.3 is connected to BZDTKS 2.1, and its output is connected to network nodes, from which changes in the parameters of network nodes recorded in BZDTKS 2.1 are transmitted. According to the control action of the BSP 2.2, the control action is detected at the input of the BUDTKS 6 from the BDS 5, according to which a control action is taken from the output of the BUDTKS 6 to the input of the BZDTKS 2.1 to form a new safe transmission route, the output of the BZDTKS 2.1 is connected to the BSAP 1.2, with whom he reads out the selected network addresses and port numbers, the output of which is connected to the BPO 1.1, from the output of which a response data stream is transmitted using the received current network addresses and port numbers.

Таким образом, заявленный способ и устройство за счет изменения разрешенных маршрутов передачи потоков данных и осуществления дополнительного анализа потоков несанкционированного доступа путем управления параметрами (адресами и портами) узлов, а также введения узлов дополнительного анализа позволяет обеспечить повышение защищенности распределенных информационных систем.Thus, the claimed method and device by changing the allowed routes for transmitting data streams and performing additional analysis of unauthorized access flows by controlling the parameters (addresses and ports) of the nodes, as well as introducing additional analysis nodes, can provide increased security for distributed information systems.

Claims (2)

1. Способ управления потоками данных распределенной информационной системы, заключающийся в том, что в распределенной информационной системе, содержащей узел дополнительного анализа, блок анализа и центр управления доступом, предварительно задают таблицу коммутации, определяющую соответствие между портами подключения к сети и сетевыми адресами соединенных с сетью узлов сети, а также задают параметры распределенной информационной системы, выявляют события безопасности в принимаемом потоке данных, анализируют их с целью принятия решения о допустимости передачи потока данных, связанного с этим событием, и, при допустимости передачи потока данных, передают его по назначению, отличающийся тем, что дополнительно задают динамическую таблицу конфигурации распределенной информационной системы, определяющую порядок изменения параметров входящих в нее узлов сети, а при выявлении событий безопасности в принятом потоке данных сравнивают его с разрешенными потоками в соответствии с таблицей коммутации, при их несовпадении формируют ответный поток для уточнения события безопасности и передают его для дополнительного анализа, для чего выделяют из этого потока сетевые адреса и номера портов в соответствии с динамической таблицей конфигурации, сравнивают их значения с предварительно заданными параметрами распределенной информационной системы, и при их совпадении формируют новый безопасный маршрут передачи, для чего присваивают сетевым узлам распределенной информационной системы новые адреса и номера портов, после чего корректируют таблицу коммутации и динамическую таблицу конфигурации, а при несовпадении параметров сетевых узлов формируют повторный ответный поток данных с выделенными сетевыми адресами и номерами портов.1. The method of managing data flows of a distributed information system, which consists in the fact that in a distributed information system containing an additional analysis node, an analysis unit and an access control center, a switching table is preliminarily defined that defines the correspondence between the network connection ports and the network addresses connected to the network network nodes, and also set the parameters of a distributed information system, identify security events in the received data stream, analyze them in order to make decisions about the admissibility of transmitting the data stream associated with this event, and, if the transmission of the data stream is permissible, transmit it as intended, characterized in that it additionally sets up a dynamic configuration table of a distributed information system that determines the order in which the parameters of the network nodes included in it, detection of security events in the received data stream, compare it with the allowed flows in accordance with the switching table, if they do not match, a response stream is generated to clarify the security event and send it for additional analysis, for which network addresses and port numbers are extracted from this stream in accordance with the dynamic configuration table, their values are compared with the predefined parameters of the distributed information system, and if they coincide, they form a new secure transmission route, for which they are assigned network nodes of a distributed information system with new addresses and port numbers, after which they correct the switching table and the dynamic configuration table, and if there is a mismatch parameters of network nodes forming a second response data stream with the selected network addresses and port numbers. 2. Устройство управления потоками данных распределенной информационной системы, содержащее блок коммутации, блок запоминания таблицы коммутации, определяющей соответствие между портами подключения к сети и сетевыми адресами соединенных с сетью узлов сети, блок детектирования событий, блок управления таблицей коммутации, первый информационный вход блока коммутации является входом потока данных устройства, а первый информационный выход блока коммутации подключен к узлам сети, второй управляющий выход блока коммутации соединен с блоком детектирования событий, выход которого соединен с управляющим входом блока управления таблицей коммутации, выход которого соединен с управляющим входом блока запоминания таблицы коммутации, а выход которого соединен с вторым информационным входом блока коммутации, отличающееся тем, что дополнительно введены модуль управления конфигурацией сети, состоящий из блока сравнения параметров, блока формирования сигналов изменений конфигурации сети и блока запоминания динамической таблицы конфигурации сети, модуль формирования ответного потока, состоящий из блока передачи ответного потока, блока считывания адресов и портов, блок управления динамической таблицей конфигурации сети, определяющей порядок изменения параметров узлов сети, первый информационный вход блока сравнения параметров соединен с информационным выходом блока коммутации, а второй информационный вход соединен с информационным выходом блока запоминания динамической таблицы конфигурации сети, первый и второй управляющие выходы блока сравнения параметров соединены с управляющими входами соответственно блока коммутации и блока формирования сигналов изменений конфигурации сети, второй информационный вход блока формирования сигналов изменений конфигурации сети соединен с информационным выходом блока запоминания динамической таблицы конфигурации сети, а информационный выход блока формирования сигналов изменений конфигурации сети соединен с узлами сети, управляющий вход блока управления динамической таблицы конфигурации сети соединен с управляющим выходом блока детектирования событий, управляющий выход блока управления динамической таблицей конфигурации сети соединен с входом блока запоминания динамической таблицы конфигурации сети, информационный выход которого соединен с информационным входом блока считывания адресов и портов, информационный выход которого соединен с блоком передачи ответного потока, информационный выход которого является выходом ответного потока данных устройства. 2. The data flow control device of a distributed information system, comprising a switching unit, a memory unit for a switching table that defines the correspondence between network connection ports and network addresses of network nodes connected to a network, an event detection unit, a switching table control unit, the first information input of the switching unit is the input of the device data stream, and the first information output of the switching unit is connected to network nodes, the second control output of the switching unit is connected to the block m event detection, the output of which is connected to the control input of the control unit of the switching table, the output of which is connected to the control input of the storage unit of the switching table, and the output of which is connected to the second information input of the switching unit, characterized in that a network configuration control module is additionally introduced, consisting of a unit for comparing parameters, a unit for generating signals of network configuration changes and a unit for storing a dynamic network configuration table, a response generating unit a flow consisting of a response flow transmission unit, an address and port reading unit, a control unit for a dynamic network configuration table defining a procedure for changing parameters of network nodes, the first information input of the parameter comparison unit is connected to the information output of the switching unit, and the second information input is connected to the information output unit for storing a dynamic table of network configuration, the first and second control outputs of the parameter comparison unit are connected to control inputs, respectively but the switching unit and the network configuration change signal generating unit, the second information input of the network configuration changing signal generating unit is connected to the information output of the storage unit of the dynamic network configuration table, and the information output of the network configuration changing signal generating unit is connected to network nodes, the control input of the dynamic control unit network configuration table is connected to the control output of the event detection unit, the control output of the dynamics control unit eskoy network configuration table connected to the input unit dynamic table storing network configuration information output of which is connected to data input of the read addresses and ports, information output of which is connected with the response unit transmitting the stream data output which is the output data stream of the response unit.
RU2012147988/08A 2012-11-12 2012-11-12 Method and apparatus for controlling distributed information system data streams RU2509425C1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
RU2012147988/08A RU2509425C1 (en) 2012-11-12 2012-11-12 Method and apparatus for controlling distributed information system data streams

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
RU2012147988/08A RU2509425C1 (en) 2012-11-12 2012-11-12 Method and apparatus for controlling distributed information system data streams

Publications (1)

Publication Number Publication Date
RU2509425C1 true RU2509425C1 (en) 2014-03-10

Family

ID=50192222

Family Applications (1)

Application Number Title Priority Date Filing Date
RU2012147988/08A RU2509425C1 (en) 2012-11-12 2012-11-12 Method and apparatus for controlling distributed information system data streams

Country Status (1)

Country Link
RU (1) RU2509425C1 (en)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2586858C1 (en) * 2014-12-10 2016-06-10 Федеральное государственное бюджетное образовательное учреждение высшего профессионального образования "Санкт-Петербургский государственный торгово-экономический университет" Method of controlling data streams based on monitoring given consumer route and detection of event of destructive effect
RU2696330C1 (en) * 2018-07-31 2019-08-01 Федеральное государственное казенное военное образовательное учреждение высшего образования "Краснодарское высшее военное училище имени генерала армии С.М. Штеменко" Министерство обороны Российской Федерации Method of protecting computer networks

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2306600C1 (en) * 2006-04-11 2007-09-20 Закрытое акционерное общество "Информационная внедренческая компания" (ЗАО "ИВК") Method for protecting information resources of heterogeneous computing network
US20070245409A1 (en) * 2006-04-12 2007-10-18 James Harris Systems and Methods for Providing Levels of Access and Action Control Via an SSL VPN Appliance
WO2008128085A1 (en) * 2007-04-11 2008-10-23 Palo Alto Networks, Inc. L2/l3 multi-mode switch including policy processing
US20100205657A1 (en) * 2009-02-11 2010-08-12 Manring Bradley A C Protected access control method for shared computer resources
RU2399091C2 (en) * 2008-11-27 2010-09-10 ООО "НеоБИТ" Method for adaptive parametric control of safety of information systems and system for realising said method
RU2402881C2 (en) * 2008-11-10 2010-10-27 Общество с ограниченной ответственностью "НеоБИТ"(ООО "НеоБИТ") Method and facility for control of data streams of protected distributed information systems in network of coded communication

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2306600C1 (en) * 2006-04-11 2007-09-20 Закрытое акционерное общество "Информационная внедренческая компания" (ЗАО "ИВК") Method for protecting information resources of heterogeneous computing network
US20070245409A1 (en) * 2006-04-12 2007-10-18 James Harris Systems and Methods for Providing Levels of Access and Action Control Via an SSL VPN Appliance
WO2008128085A1 (en) * 2007-04-11 2008-10-23 Palo Alto Networks, Inc. L2/l3 multi-mode switch including policy processing
RU2402881C2 (en) * 2008-11-10 2010-10-27 Общество с ограниченной ответственностью "НеоБИТ"(ООО "НеоБИТ") Method and facility for control of data streams of protected distributed information systems in network of coded communication
RU2399091C2 (en) * 2008-11-27 2010-09-10 ООО "НеоБИТ" Method for adaptive parametric control of safety of information systems and system for realising said method
US20100205657A1 (en) * 2009-02-11 2010-08-12 Manring Bradley A C Protected access control method for shared computer resources

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2586858C1 (en) * 2014-12-10 2016-06-10 Федеральное государственное бюджетное образовательное учреждение высшего профессионального образования "Санкт-Петербургский государственный торгово-экономический университет" Method of controlling data streams based on monitoring given consumer route and detection of event of destructive effect
RU2696330C1 (en) * 2018-07-31 2019-08-01 Федеральное государственное казенное военное образовательное учреждение высшего образования "Краснодарское высшее военное училище имени генерала армии С.М. Штеменко" Министерство обороны Российской Федерации Method of protecting computer networks

Similar Documents

Publication Publication Date Title
US11595396B2 (en) Enhanced smart process control switch port lockdown
US9369434B2 (en) Whitelist-based network switch
US11102226B2 (en) Dynamic security method and system based on multi-fusion linkage response
CN100474213C (en) Packet receiving device and system and method for accelerating packet filtering
RU2402881C2 (en) Method and facility for control of data streams of protected distributed information systems in network of coded communication
CN101582900A (en) Firewall security policy configuration method and management unit
CN109510841B (en) Safety isolation gateway of control device and system
KR100723864B1 (en) Method for blocking network attacks using the information in packet and apparatus thereof
US20210176125A1 (en) Programmable switching device for network infrastructures
CN103457948A (en) Industrial control system and safety device thereof
CN105577705B (en) For the safety protecting method and system of IEC60870-5-104 agreements
RU2509425C1 (en) Method and apparatus for controlling distributed information system data streams
RU2684575C1 (en) METHOD FOR CONTROL OF DISTRIBUTED INFORMATION SYSTEM DATA STREAMS IN DDoS ATTACKS
CN108322454B (en) Network security detection method and device
CN108462633B (en) Network security routing scheduling method and system based on SDN
KR101160219B1 (en) Tracking system and method of connecting route for the network security
KR20090075719A (en) Method and apparatus for overriding denunciations of unwanted traffic in one or more packet networks
KR101440154B1 (en) Apparatus and method for user authentication of network security system
RU2710284C1 (en) Method and apparatus for controlling data streams of a distributed information system using identifiers
RU2547628C2 (en) Method and apparatus for controlling distributed information system data streams
RU2568784C1 (en) Method of controlling data streams in distributed information systems
KR102046612B1 (en) The system for defending dns amplification attacks in software-defined networks and the method thereof
RU2163744C2 (en) Protective system for virtual channel of corporate- network using fiscal data access control and built around channels and switching facilities of shared communication network
KR102246290B1 (en) Method, apparatus and computer program for network separation of software defined network
CN117560230B (en) Network data transmission encryption type data transmission method

Legal Events

Date Code Title Description
MM4A The patent is invalid due to non-payment of fees

Effective date: 20141113