RU2540838C1 - Detector of remote computer attacks - Google Patents

Detector of remote computer attacks Download PDF

Info

Publication number
RU2540838C1
RU2540838C1 RU2014108176/08A RU2014108176A RU2540838C1 RU 2540838 C1 RU2540838 C1 RU 2540838C1 RU 2014108176/08 A RU2014108176/08 A RU 2014108176/08A RU 2014108176 A RU2014108176 A RU 2014108176A RU 2540838 C1 RU2540838 C1 RU 2540838C1
Authority
RU
Russia
Prior art keywords
control
output
unit
input
decryption
Prior art date
Application number
RU2014108176/08A
Other languages
Russian (ru)
Inventor
Дмитрий Юрьевич Васюков
Михаил Антонович Коцыняк
Михаил Михайлович Коцыняк
Олег Сергеевич Лаута
Александр Сергеевич Лаута
Original Assignee
Федеральное государственное казенное военное образовательное учреждение высшего профессионального образования "ВОЕННАЯ АКАДЕМИЯ СВЯЗИ имени Маршала Советского Союза С.М. Буденного" Министерства обороны Российской Федерации
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Федеральное государственное казенное военное образовательное учреждение высшего профессионального образования "ВОЕННАЯ АКАДЕМИЯ СВЯЗИ имени Маршала Советского Союза С.М. Буденного" Министерства обороны Российской Федерации filed Critical Федеральное государственное казенное военное образовательное учреждение высшего профессионального образования "ВОЕННАЯ АКАДЕМИЯ СВЯЗИ имени Маршала Советского Союза С.М. Буденного" Министерства обороны Российской Федерации
Priority to RU2014108176/08A priority Critical patent/RU2540838C1/en
Application granted granted Critical
Publication of RU2540838C1 publication Critical patent/RU2540838C1/en

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

FIELD: electricity.
SUBSTANCE: detector of remote computer attacks comprises counters, decoding units, comparator units, control unit, display unit and memory units. The first memory unit is equipped with input message bus and its data output is connected to the first data inputs of the first, third, fourth, fifth, sixth, seventh, tenth, eighth, ninth, eleventh and twelfth decoding units, which control outputs are coupled to the respective control inputs of the control unit, which control outputs are coupled to the display unit and the first memory unit. Control outputs of counters are connected to control inputs of the respective decoding units. Data outputs of the fourth and fifth decoding units are coupled to the first comparing unit, which data output is coupled to the third memory unit. Data output of the twelfth decoding unit is connected to data input of the second comparing unit, which data output is coupled to the fifth memory unit. At that control inputs of the third, fourth and fifth memory units are jointed and form the control input of the device; the fourth memory unit is equipped with data output of connection to false network.
EFFECT: improved detection reliability of remote computer attacks.
7 dwg

Description

Изобретение относится к области электросвязи и предназначено для использования в технических средствах защиты с целью оперативного выявления удаленных компьютерных атак на информационно-телекоммуникационную сеть (ИТКС) и их блокирования.The invention relates to the field of telecommunications and is intended for use in technical means of protection for the rapid detection of remote computer attacks on the information and telecommunication network (ITKS) and their blocking.

Известно устройство защиты информационных ресурсов вычислительной сети по патенту РФ №2313127, опубл. 20.12.2007. Устройство-аналог состоит из серверов с блоками памяти, промежуточной памяти, коммутатора, коннекторов, линий обмена данными и блока управления.A device for protecting information resources of a computer network according to the patent of the Russian Federation No. 2313127, publ. 12/20/2007. An analog device consists of servers with memory blocks, intermediate memory, a switch, connectors, data lines and a control unit.

Недостатком указанного способа является ограниченное число анализируемых параметров пакетов сообщений.The disadvantage of this method is the limited number of analyzed parameters of message packets.

Известно устройство защиты информации от несанкционированного доступа для компьютеров информационно-вычислительных систем по патенту РФ №2321055, опубл. 27.03.2008. Устройство-аналог состоит из контроллера обмена информацией с внешним носителем информации, контроллера обмена информацией с компьютером, процессора идентификации и аутентификации пользователей, блока энергонезависимой памяти, модуля блокировки общей шины управления и обмена данными компьютера, устройства контроля питания, блока интерфейсов внешних устройств, модуля блокирования внешних устройств, аппаратного датчика случайных чисел, микроконтроллера датчиков вскрытия и извлечения компонентов компьютера с собственным независимым источником питания, оперативного запоминающего устройства, модуля постоянной аутентификации пользователя, модуля проверки целостности и состояния аппаратных компонентов устройства защиты, модуля управления загрузкой ключей аппаратного шифратора, модуля управления сетевыми адаптерами, модуля взаимодействия с системой разграничения доступа и модуля взаимодействия с серверами информационно-вычислительной системы.A device for protecting information from unauthorized access for computers of information-computing systems according to the patent of the Russian Federation No. 2321055, publ. 03/27/2008. An analog device consists of a controller for exchanging information with an external storage medium, a controller for exchanging information with a computer, a user identification and authentication processor, a non-volatile memory unit, a common control and data exchange module blocking module for a computer, a power control device, an external device interface unit, a blocking module external devices, hardware random number sensor, microcontroller of tamper sensors and extract computer components with their own independent m power supply, random access memory device, module for continuous user authentication, module for checking the integrity and condition of hardware components of the protection device, module for managing keys for encryptor loading keys, module for managing network adapters, module for interacting with an access control system, and module for interacting with servers of an information-computing system .

Недостатком указанного способа является узкая область применения, обусловленная тем, что несмотря на возможность обнаружения несанкционированного доступа к компьютерам в нем не предусмотрена возможность предотвращения удаленных компьютерных атак.The disadvantage of this method is the narrow scope, due to the fact that despite the possibility of detecting unauthorized access to computers, it does not provide the ability to prevent remote computer attacks.

Наиболее близким аналогом (прототипом) по своей технической сущности к заявленному устройству обнаружения удаленных компьютерных атак является устройство поиска информации по патенту РФ №2301443, опубл. 20.06.2007.The closest analogue (prototype) in its technical essence to the claimed device for detecting remote computer attacks is an information retrieval device according to the patent of the Russian Federation No. 2301443, publ. 06/20/2007.

Устройство-прототип состоит из блока памяти, вход которого является входом устройства, а выход подключен к информационному входу первого блока дешифрации, второй вход которого подключен к первому счетчику, а выход - к входу второго счетчика, первый выход которого соединен со вторым входом второго блока дешифрации, первый вход которого подключен к выходу первого блока памяти, выход второго блока дешифрации соединен с входом второго блока памяти, а выход второго счетчика через третий счетчик соединен с первым входом третьего блока дешифрации, второй вход которого подключен к выходу первого блока памяти, первый и второй выходы третьего блока дешифрации подключены через четвертый и пятый счетчики соответственно к первым входам четвертого и пятого блоков дешифрации, вторые входы которых соединены с выходом первого блока памяти, а выходы четвертого и пятого блоков дешифрации подключены соответственно к первому и второму входам первого блока сравнения, входы блока управления подключены ко второму выходу первого блока дешифрации, к третьему выходу третьего блока дешифрации, ко второму выходу первого блока сравнения, ко второму выходу шестого блока дешифрации, к первому выходу седьмого блока дешифрации, к выходу восьмого блока дешифрации, к выходу девятого блока дешифрации, к первому выходу десятого блока дешифрации, к двум выходам одиннадцатого блока дешифрации, а одиннадцатый выход блока управления подключен к входу первого счетчика и к первому блоку памяти, причем выход второго блока памяти соединен с первым входом шестого счетчика, второй вход которого подключен к выходу первого блока сравнения, а его выход - к входу шестого блока дешифрации, первый выход которого соединен с входом седьмого счетчика, выход которого подключен к входу седьмого блока дешифрации, второй выход которого соединен с входом восьмого счетчика, а выход восьмого счетчика подключен к первому входу восьмого, девятого и десятого блоков дешифрации, вторые входы каждого из которых соединены с выходом первого блока памяти, к которому также подключены вторые входы седьмого, шестого и одиннадцатого блоков дешифрации, причем второй выход десятого блока дешифрации соединен с входом девятого счетчика, выход которого подключен к первому входу одиннадцатого блока дешифрации.The prototype device consists of a memory block, the input of which is the input of the device, and the output is connected to the information input of the first decryption unit, the second input of which is connected to the first counter, and the output to the input of the second counter, the first output of which is connected to the second input of the second decryption unit the first input of which is connected to the output of the first memory unit, the output of the second decryption unit is connected to the input of the second memory unit, and the output of the second counter through the third counter is connected to the first input of the third decoder unit ii, the second input of which is connected to the output of the first memory block, the first and second outputs of the third decryption block are connected through the fourth and fifth counters, respectively, to the first inputs of the fourth and fifth decryption blocks, the second inputs of which are connected to the output of the first memory block, and the outputs of the fourth and fifth decryption units are connected respectively to the first and second inputs of the first comparison unit, the inputs of the control unit are connected to the second output of the first decryption unit, to the third output of the third decryption unit, to the second output of the first comparison block, to the second output of the sixth decryption block, to the first output of the seventh decryption block, to the output of the eighth decryption block, to the output of the ninth decryption block, to the first output of the tenth decryption block, to the two outputs of the eleventh decryption block, and the eleventh output the control unit is connected to the input of the first counter and to the first memory unit, and the output of the second memory unit is connected to the first input of the sixth counter, the second input of which is connected to the output of the first comparison unit, and its one - to the input of the sixth decryption unit, the first output of which is connected to the input of the seventh counter, the output of which is connected to the input of the seventh decryption unit, the second output of which is connected to the input of the eighth counter, and the output of the eighth counter is connected to the first input of the eighth, ninth and tenth decryption units , the second inputs of each of which are connected to the output of the first memory block, to which the second inputs of the seventh, sixth and eleventh decryption units are also connected, and the second output of the tenth decryption unit is connected to the input of the ninth counter, the output of which is connected to the first input of the eleventh decryption unit.

Недостатком прототипа является относительная низкая достоверность обнаружения компьютерных атак из-за возможности проверки только малого количества признаков, характеризующих удаленные компьютерные атаки, что приводит к возможному пропуску компьютерных атак, использующих фрагментацию пакетов данных.The disadvantage of the prototype is the relatively low reliability of detection of computer attacks due to the ability to check only a small number of signs characterizing remote computer attacks, which leads to the possible omission of computer attacks using fragmentation of data packets.

Целью изобретения является разработка устройства обнаружения удаленных компьютерных атак, обеспечивающего повышение достоверности обнаружения компьютерных атак, за счет возможности выявления большего числа признаков атак и их обнаружения.The aim of the invention is to develop a device for detecting remote computer attacks, which increases the reliability of detection of computer attacks, due to the possibility of identifying more signs of attacks and their detection.

Поставленная цель достигается тем, что в известном устройстве обнаружения удаленных компьютерных атак, содержащем первый блок памяти, снабженный входной шиной сообщений, а его информационный выход подключен к первым информационным входам первого, третьего, четвертого, пятого, шестого, седьмого, десятого, восьмого, девятого и одиннадцатого блоков дешифрации, первый управляющий вход первого блока памяти подключен к управляющему входу первого счетчика, управляющий выход которого подключен ко второму управляющему входу первого блока дешифрации, управляющие выходы которого подключены соответственно к первому управляющему входу блока управления и управляющему входу второго счетчика, первый управляющий выход которого подключен к управляющему входу второго блока дешифрации, управляющий выход которого подключен к управляющему входу второго блока памяти, информационный выход которого подключен к первому информационному входу шестого счетчика, второй управляющий вход которого подключен ко второму управляющему выходу первого блока сравнения, управляющий выход шестого счетчика подключен ко второму управляющему входу шестого блока дешифрации, первый управляющий выход которого подключен к четвертому управляющему входу блока управления, пятый управляющий вход которого подключен к первому управляющему выходу седьмого блока дешифрации, второй управляющий выход которого подключен к управляющему входу восьмого счетчика, второй управляющий выход которого подключен ко вторым управляющим входам десятого, восьмого и девятого блоков дешифрации, первый управляющий выход которого подключен к шестому управляющему входу блока управления, седьмой и восьмой управляющие входы которого подключены соответственно к первому управляющему выходу восьмого блока дешифрации и первому управляющему выходу десятого блока дешифрации, второй управляющий выход которого подключен к управляющему входу девятого счетчика, управляющий выход которого подключен к первому управляющему входу одиннадцатого блока дешифрации, первый управляющий выход которого подключен к десятому управляющему входу блока управления, второй и третий управляющие входы которого подключены соответственно к первому управляющему выходу третьего блока дешифрации и первому управляющему выходу первого блока сравнения, второй информационный вход которого подключен к информационному выходу пятого блока дешифрации, второй управляющий вход которого подключен к управляющему выходу пятого счетчика, информационный вход которого подключен ко второму информационному выходу третьего блока дешифрации, третий информационный выход которого подключен к информационному входу четвертого счетчика, управляющий выход которого подключен ко второму управляющему входу четвертого блока дешифрации, информационный выход которого подключен к третьему информационному входу первого блока сравнения, второй управляющий выход второго счетчика подключен к управляющему входу третьего счетчика, управляющий выход которого подключен ко второму управляющему входу третьего блока дешифрации, второй управляющий выход шестого блока дешифрации подключен к управляющему входу седьмого счетчика, управляющий выход которого подключен ко второму управляющему входу седьмого блока дешифрации, первый, второй и третий управляющие выходы блока управления подключены соответственно к первому и второму управляющим входам первого блока памяти, а также к управляющему входу блока индикации, отличающееся тем, что дополнительно введены второй блок сравнения, двенадцатый блок дешифрации, десятый счетчик, а также третий, пятый и четвертый блоки памяти. Первый управляющий выход четвертого блока памяти подключен к девятому управляющему входу блока управления, двенадцатый и тринадцатый управляющие входы которого подключены соответственно к первому и второму управляющим выходам второго блока сравнения. Первый и второй информационные входы второго блока сравнения подключены соответственно к информационным выходам пятого блока памяти и двенадцатого блока дешифрации, первый управляющий выход которого подключен к одиннадцатому управляющему входу блока управления. Первый и второй информационные входы двенадцатого блока дешифрации подключены соответственно к информационному выходу первого блока памяти и управляющему выходу десятого счетчика, управляющий вход которого подключен к первому управляющему выходу восьмого счетчика. Второй и третий информационные входы четвертого блока памяти подключены соответственно ко второму информационному выходу одиннадцатого блока дешифрации и вторым информационным выходам восьмого и девятого блоков дешифрации. Информационный выход третьего блока памяти подключен к первому информационному входу первого блока сравнения. Причем управляющие входы третьего, четвертого и пятого блоков памяти объединены и являются управляющим входом устройства, а четвертый блок памяти снабжен информационным выходом подключения к ложной сети.This goal is achieved by the fact that in the known device for detecting remote computer attacks containing a first memory block equipped with an input bus, and its information output is connected to the first information inputs of the first, third, fourth, fifth, sixth, seventh, tenth, eighth, ninth and the eleventh decryption blocks, the first control input of the first memory block is connected to the control input of the first counter, the control output of which is connected to the second control input of the first cheap block fractions, the control outputs of which are connected respectively to the first control input of the control unit and the control input of the second counter, the first control output of which is connected to the control input of the second decryption unit, the control output of which is connected to the control input of the second memory block, the information output of which is connected to the first information input the sixth counter, the second control input of which is connected to the second control output of the first comparison unit, the control output of the sixth with the sensor is connected to the second control input of the sixth decryption unit, the first control output of which is connected to the fourth control input of the control unit, the fifth control input of which is connected to the first control output of the seventh decryption unit, the second control output of which is connected to the control input of the eighth counter, the second control output of which connected to the second control inputs of the tenth, eighth and ninth decryption units, the first control output of which is connected to the sixth control the control unit input to it, the seventh and eighth control inputs of which are connected respectively to the first control output of the eighth decryption unit and the first control output of the tenth decryption unit, the second control output of which is connected to the control input of the ninth counter, the control output of which is connected to the first control input of the eleventh decryption unit , the first control output of which is connected to the tenth control input of the control unit, the second and third control inputs of which are connected correspondingly to the first control output of the third decryption unit and the first control output of the first comparison unit, the second information input of which is connected to the information output of the fifth decryption unit, the second control input of which is connected to the control output of the fifth counter, the information input of which is connected to the second information output of the third block decryption, the third information output of which is connected to the information input of the fourth counter, the control output of which is it is connected to the second control input of the fourth decryption unit, the information output of which is connected to the third information input of the first comparison unit, the second control output of the second counter is connected to the control input of the third counter, the control output of which is connected to the second control input of the third decryption unit, the second control output of the sixth block decryption is connected to the control input of the seventh counter, the control output of which is connected to the second control input of the seventh counter ifration, the first, second and third control outputs of the control unit are connected respectively to the first and second control inputs of the first memory unit, as well as to the control input of the display unit, characterized in that the second comparison unit, the twelfth decryption unit, the tenth counter, and third, fifth and fourth memory blocks. The first control output of the fourth memory unit is connected to the ninth control input of the control unit, the twelfth and thirteenth control inputs of which are connected respectively to the first and second control outputs of the second comparison unit. The first and second information inputs of the second comparison unit are connected respectively to the information outputs of the fifth memory unit and the twelfth decryption unit, the first control output of which is connected to the eleventh control input of the control unit. The first and second information inputs of the twelfth decryption unit are connected respectively to the information output of the first memory unit and the control output of the tenth counter, the control input of which is connected to the first control output of the eighth counter. The second and third information inputs of the fourth memory block are connected respectively to the second information output of the eleventh decryption block and the second information outputs of the eighth and ninth decryption blocks. The information output of the third memory unit is connected to the first information input of the first comparison unit. Moreover, the control inputs of the third, fourth and fifth memory blocks are combined and are the control input of the device, and the fourth memory block is equipped with an information output connecting to a false network.

Благодаря новой совокупности существенных признаков в заявленном устройстве за счет мониторинга широкого спектра компьютерных атак, предпринимаемых внешними нарушителями по доверенным маршрутам передачи пакетов сообщений, представляется возможным более оперативно прогнозировать факт воздействия компьютерных атак (КА) и заблаговременно предотвратить их деструктивное воздействие, что указывает на возможность повышения достоверности обнаружения КА.Due to the new set of essential features in the claimed device, by monitoring a wide range of computer attacks by external intruders along trusted message packet transmission routes, it seems possible to more quickly predict the impact of computer attacks (SC) and to prevent their destructive effect in advance, which indicates the possibility of increasing validity of spacecraft detection.

Заявленное устройство поясняется чертежами, на которых показаны:The claimed device is illustrated by drawings, which show:

на фиг.1 - структурная схема устройства обнаружения удаленных компьютерных атак;figure 1 is a structural diagram of a device for detecting remote computer attacks;

на фиг.2 - структурная схема блока управления;figure 2 is a structural diagram of a control unit;

на фиг.3 - структура заголовка IP-пакета;figure 3 - structure of the header of the IP packet;

на фиг.4 - структура заголовка TCP-пакета;4 is a header structure of a TCP packet;

на фиг.5 - структура заголовка UDP-пакета;5 is a header structure of a UDP packet;

на фиг.6 - структура заголовка ICMP-пакета;6 is a header structure of an ICMP packet;

на фиг.7 - зависимость вероятности обнаружения компьютерных атак от объема принятых пакетов сообщений.figure 7 - dependence of the probability of detection of computer attacks on the amount of received message packets.

Заявленное устройство обнаружения удаленных компьютерных атак, показанное на фиг.1, состоит из первого блока памяти 1, снабженного входной шиной сообщений, а его информационный выход 1.3 подключен к первым информационным входам первого 3, третьего 8, четвертого 11, пятого 12, шестого 15, седьмого 17, десятого 19, восьмого 20, девятого 21 и одиннадцатого 23 блоков дешифрации, первый управляющий вход 1.1 первого блока памяти 1 подключен к управляющему входу 2.1 первого счетчика 2, управляющий выход 2.2 которого подключен ко второму управляющему входу 3.2 первого блока дешифрации 3, управляющие выходы 3.3 и 3.4 которого подключены соответственно к первому управляющему входу 24.1 блока управления 24 и управляющему входу 5.1 второго счетчика 5, первый управляющий выход 5.2 которого подключен к управляющему входу 4.1 второго блока дешифрации 4, управляющий выход 4.2 которого подключен к информационному входу 6.1 второго блока памяти 6, информационный выход 6.2 которого подключен к первому информационному входу 14.1 шестого счетчика 14, второй управляющий вход 14.2 которого подключен ко второму управляющему выходу 13.5 первого блока сравнения 13, управляющий выход 14.3 шестого счетчика 14 подключен ко второму управляющему входу 15.2 шестого, блока дешифрации 15, первый управляющий выход 15.3 которого подключен к четвертому управляющему входу 24.4 блока управления 24, пятый управляющий вход 24.5 которого подключен к первому управляющему выходу 17.3 седьмого блока дешифрации 17, второй управляющий выход 17.4 которого подключен к управляющему входу 18.1 восьмого счетчика 18, второй управляющий выход 18.3 которого подключен ко вторым управляющим входам 19.2, 20.2, 21.2 десятого 19, восьмого 20 и девятого 21 блоков дешифрации, первый управляющий выход 21.3 которого подключен к шестому управляющему входу 24.6 блока управления 24, седьмой 24.7 и восьмой 24.8 управляющие входы которого подключены соответственно к первому управляющему выходу 20.3 восьмого блока дешифрации 20 и первому управляющему выходу 19.3 десятого блока дешифрации 19, второй управляющий выход 19.4 которого подключен к управляющему входу 22.1 девятого счетчика 22, управляющий выход 22.2 которого подключен к первому управляющему входу 23.2 одиннадцатого блока дешифрации 23, первый управляющий выход 23.3 которого подключен к десятому управляющему входу 24.10 блока управления 24, второй 24.2 и третий 24.3 управляющие входы которого подключены соответственно к первому управляющему выходу 8.3 третьего блока дешифрации 8 и первому управляющему выходу 13.4 первого блока сравнения 13, второй информационный вход 13.2 которого подключен к информационному выходу 12.3 пятого блока дешифрации 12, второй управляющий вход 12.2 которого подключен к управляющему выходу 10.2 пятого счетчика 10, информационный вход 10.1 которого подключен ко второму информационному выходу 8.4 третьего блока дешифрации 8, третий информационный выход 8.5 которого подключен к информационному входу 9.1 четвертого счетчика 9, управляющий выход 9.2 которого подключен ко второму управляющему входу 11.2 четвертого блока дешифрации 11, информационный выход 11.3 которого подключен к третьему информационному входу 13.3 первого блока сравнения 13, второй управляющий выход 5.3 второго счетчика 5 подключен к управляющему входу 7.1 третьего счетчика 7, управляющий выход 7.2 которого подключен ко второму управляющему входу 8.2 третьего блока дешифрации 8, второй управляющий выход 15.4 шестого блока дешифрации 15 подключен к управляющему входу 16.1 седьмого счетчика 16, управляющий выход 16.2 которого подключен ко второму управляющему входу 17.2 седьмого блока дешифрации 17, первый 24.14, второй 24.15 и третий 24.16 управляющие выходы блока управления 24 подключены соответственно к первому 1.1 и второму 1.2 управляющим входам первого блока памяти 1, а также к управляющему входу 25.1 блока индикации 25, отличающееся тем, что дополнительно введены второй блок сравнения 32, двенадцатый блок дешифрации 30, десятый счетчик 29, а также третий 26, пятый 31 и четвертый 28 блоки памяти. Первый управляющий выход 28.4 четвертого блока памяти 28 подключен к девятому управляющему входу 24.9 блока управления 24, двенадцатый 24.12 и тринадцатый 24.13 управляющие входы которого подключены соответственно к первому 32.3 и второму 32.4 управляющим выходам второго блока сравнения 32. Первый 32.1 и второй 32.2 информационные входы второго блока сравнения 32 подключены к информационным выходам соответственно 31.2 пятого блока памяти 31 и 30.4 двенадцатого блока дешифрации 30. Первый управляющий выход 30.3 двенадцатого блока дешифрации 30 подключен к одиннадцатому управляющему входу 24.11 блока управления 24. Первый 30.1 и второй информационные входы 30.2 двенадцатого блока дешифрации 30 подключены соответственно к информационным выходам 1.3 первого блока памяти 1 и 29.2 десятого счетчика 29. Информационный вход 29.1 десятого счетчика 29 подключен к первому информационному выходу 18.2 восьмого счетчика 18. Второй 28.2 и третий 28.3 информационные входы четвертого блока памяти 28 подключены соответственно ко второму информационному выходу 23.4 одиннадцатого блока дешифрации 23 и вторым информационным выходам 20.4, 21.4 восьмого 20 и девятого 21 блоков дешифрации. Информационный выход 26.1 третьего блока памяти 26 подключен к первому информационному входу 13.1 первого блока сравнения 13. Причем управляющие входы 26.2, 28.1 и 31.1 третьего 26, четвертого 28 и пятого 31 блоков памяти объединены и являются управляющим входом устройства. Четвертый блок памяти 28 снабжен информационным выходом 28.5 подключения к ложной сети.The claimed device for detecting remote computer attacks, shown in figure 1, consists of a first memory unit 1 provided with an input message bus, and its information output 1.3 is connected to the first information inputs of the first 3, third 8, fourth 11, fifth 12, sixth 15, seventh 17, tenth 19, eighth 20, ninth 21 and eleventh 23 decryption units, the first control input 1.1 of the first memory unit 1 is connected to the control input 2.1 of the first counter 2, the control output 2.2 of which is connected to the second control input 3.2 of the first about the decryption unit 3, the control outputs 3.3 and 3.4 of which are connected respectively to the first control input 24.1 of the control unit 24 and the control input 5.1 of the second counter 5, the first control output 5.2 of which is connected to the control input 4.1 of the second decryption unit 4, the control output 4.2 of which is connected to information input 6.1 of the second memory block 6, information output 6.2 of which is connected to the first information input 14.1 of the sixth counter 14, the second control input 14.2 of which is connected to the second control output 13.5 the first comparison unit 13, the control output 14.3 of the sixth counter 14 is connected to the second control input 15.2 of the sixth, the decryption unit 15, the first control output 15.3 of which is connected to the fourth control input 24.4 of the control unit 24, the fifth control input 24.5 of which is connected to the first control output 17.3 of the seventh decryption unit 17, the second control output 17.4 of which is connected to the control input 18.1 of the eighth counter 18, the second control output 18.3 of which is connected to the second control inputs 19.2, 20.2, 21.2 of the tenth 19, eight On the 20th and ninth 21 decryption units, the first control output 21.3 of which is connected to the sixth control input 24.6 of the control unit 24, the seventh 24.7 and eighth 24.8 whose control inputs are connected respectively to the first control output 20.3 of the eighth decryption unit 20 and the first control output 19.3 of the tenth decryption unit 19, the second control output 19.4 of which is connected to the control input 22.1 of the ninth counter 22, the control output 22.2 of which is connected to the first control input 23.2 of the eleventh decryption unit 23, the first the control output 23.3 of which is connected to the tenth control input 24.10 of the control unit 24, the second 24.2 and third 24.3 control inputs of which are connected respectively to the first control output 8.3 of the third decryption unit 8 and the first control output 13.4 of the first comparison unit 13, the second information input 13.2 of which is connected to the information output 12.3 of the fifth decryption unit 12, the second control input 12.2 of which is connected to the control output 10.2 of the fifth counter 10, the information input 10.1 of which is connected to the second input formation output 8.4 of the third decryption unit 8, the third information output 8.5 of which is connected to the information input 9.1 of the fourth counter 9, the control output 9.2 of which is connected to the second control input 11.2 of the fourth decryption unit 11, the information output 11.3 of which is connected to the third information input 13.3 of the first comparison unit 13, the second control output 5.3 of the second counter 5 is connected to the control input 7.1 of the third counter 7, the control output 7.2 of which is connected to the second control input 8.2 of the third decryption unit 8, the second control output 15.4 of the sixth decryption unit 15 is connected to the control input 16.1 of the seventh counter 16, the control output 16.2 of which is connected to the second control input 17.2 of the seventh decryption unit 17, the first 24.14, the second 24.15 and the third 24.16 control outputs of the control unit 24 are connected respectively, to the first 1.1 and second 1.2 control inputs of the first memory unit 1, as well as to the control input 25.1 of the display unit 25, characterized in that a second comparison unit 32, the twelfth decryption unit, are additionally introduced AI 30, tenth counter 29, as well as third 26, fifth 31 and fourth 28 memory blocks. The first control output 28.4 of the fourth memory block 28 is connected to the ninth control input 24.9 of the control unit 24, the twelfth 24.12 and thirteenth 24.13 whose control inputs are connected respectively to the first 32.3 and second 32.4 control outputs of the second comparison unit 32. The first 32.1 and second 32.2 information inputs of the second block comparisons 32 are connected to the information outputs 31.2 of the fifth memory block 31 and 30.4 of the twelfth decryption unit 30, respectively. The first control output 30.3 of the twelfth decryption unit 30 is connected to eleven the control input 24.11 of the control unit 24. The first 30.1 and second information inputs 30.2 of the twelfth decryption unit 30 are connected respectively to the information outputs 1.3 of the first memory block 1 and 29.2 of the tenth counter 29. The information input 29.1 of the tenth counter 29 is connected to the first information output 18.2 of the eighth counter 18 The second 28.2 and third 28.3 information inputs of the fourth memory block 28 are connected respectively to the second information output 23.4 of the eleventh decryption unit 23 and the second information outputs 20.4, 21.4 in on the 8th and the ninth, 21 decryption blocks. The information output 26.1 of the third memory block 26 is connected to the first information input 13.1 of the first comparison unit 13. Moreover, the control inputs 26.2, 28.1 and 31.1 of the third 26, fourth 28 and fifth 31 memory blocks are combined and are the control input of the device. The fourth memory block 28 is provided with an information output 28.5 connecting to a false network.

Входящие в устройство обнаружения удаленных компьютерных атак (УОУКА) блоки имеют следующее назначение:The blocks included in the device for detecting remote computer attacks (UOKA) have the following purpose:

Первый 1 и второй 6 блоки памяти предназначены соответственно для хранения и последующего считывания с них байтов (битов) пакетов сообщений, поступающих с демодулирующего устройства и блока дешифрации.The first 1 and second 6 memory blocks are intended respectively for storing and subsequent reading from them bytes (bits) of message packets arriving from a demodulating device and a decryption unit.

Третий 26, четвертый 28 и пятый 31 блоки памяти предназначены для записи и хранения соответствующих эталонных значений параметров IP-адресов (отправителей и получателей), признаков пассивных компьютерных атак и параметров поля «Опции».The third 26, fourth 28 and fifth 31 memory blocks are designed to record and store the corresponding reference values of IP address parameters (senders and recipients), signs of passive computer attacks and parameters of the Options field.

Схемы их известны и описаны на фиг.2 патента РФ №2115952.Their schemes are known and described in figure 2 of the patent of the Russian Federation No. 2115952.

Первый счетчик 2 предназначен для отсчета 14 байтов в цифровой последовательности для определения IP-пакета (фиг.3) и выработки управляющего сигнала для первого блока дешифрации 3.The first counter 2 is designed to count 14 bytes in digital sequence to determine the IP packet (figure 3) and generate a control signal for the first decryption unit 3.

Второй счетчик 5 предназначен для отсчета 4 бит для обнаружения поля «Длина заголовка» пакета сообщения.The second counter 5 is designed to count 4 bits to detect the field "Length of the header" message packet.

Третий счетчик 7 предназначен для отсчета 8 байт с целью обнаружения 24-го байта пакета и выработки управляющего сигнала для третьего блока дешифрации 8.The third counter 7 is designed to count 8 bytes in order to detect the 24th byte of the packet and generate a control signal for the third decryption unit 8.

Четвертый счетчик 9 предназначен для отсчета 3 байт до первого байта поля адреса отправителя в заголовке IP-дейтаграммы и выработки управляющего сигнала для четвертого блока дешифрации 11.The fourth counter 9 is designed to count 3 bytes to the first byte of the sender address field in the header of the IP datagram and generate a control signal for the fourth decryption unit 11.

Пятый счетчик 10 предназначен для отсчета 4 байт до первого байта поля адреса получателя в заголовке IP-дейтаграммы и выработки управляющего сигнала для пятого блока дешифрации 12.The fifth counter 10 is designed to count 4 bytes to the first byte of the recipient address field in the header of the IP datagram and generate a control signal for the fifth decryption unit 12.

Шестой счетчик 14 предназначен для определения поля, содержащего номер порта отправителя пакета сообщения в заголовке TCP-пакета (фиг.4).The sixth counter 14 is designed to determine the field containing the port number of the sender of the message packet in the header of the TCP packet (figure 4).

Седьмой счетчик 16 предназначен для определения поля, содержащего значение резервных битов заголовка TCP-пакета.The seventh counter 16 is used to determine the field containing the value of the reserve bits of the header of the TCP packet.

Восьмой счетчик 18 предназначен для определения поля «Флаги» заголовка TCP-пакета и выработки управляющих сигналов для восьмого 20, девятого 21 и десятого 19 блоков дешифрации.The eighth counter 18 is designed to determine the “Flags” field of the TCP packet header and generate control signals for the eighth 20, ninth 21, and tenth 19 decryption blocks.

Девятый счетчик 22 предназначен для определения поля номера флага АСК и выработки управляющего сигнала для одиннадцатого блока дешифрации 23.The ninth counter 22 is designed to determine the ASK flag number field and generate a control signal for the eleventh decryption unit 23.

Десятый счетчик 29 предназначен для определения поля «Опции» и выработки управляющего сигнала для двенадцатого блока дешифрации 30.The tenth counter 29 is designed to determine the “Options” field and generate a control signal for the twelfth decryption unit 30.

Схема счетчиков известны и описаны на фиг.6 патента РФ №2219577.The counter scheme is known and described in Fig.6 of the patent of the Russian Federation No. 2219577.

Первый блок дешифрации 3 предназначен для определения в последовательности поступающих данных протокола IP.The first decryption unit 3 is designed to determine the sequence of incoming IP protocol data.

Второй блок дешифрации 4 предназначен для определения значения «Длина заголовка».The second decryption unit 4 is intended to determine the value of the "Length of the header".

Третий блок дешифрации 8 предназначен для определения протокола TCP за счет выявления в 24-ом байте числового значения «шесть» в десятичном виде.The third decryption unit 8 is designed to determine the TCP protocol by identifying the numeric value “six” in decimal form in the 24th byte.

Четвертый 11 и пятый 12 блоки дешифрации предназначены для записи в них по четыре байта 27-30 и 31-34 полей адреса отправителя и адреса получателя соответственно.The fourth 11 and fifth 12 decryption blocks are designed to record four bytes 27-30 and 31-34 of the sender address and recipient address fields, respectively.

Шестой блок дешифрации 15 предназначен для определения записи 35 и 36 байтов и определяет числовое значение «ноль» (00) в десятичном виде.The sixth decryption unit 15 is designed to determine the record of 35 and 36 bytes and determines the numerical value of “zero” (00) in decimal form.

Седьмой блок дешифрации 17 предназначен для определения значения поля резервных бит.The seventh decryption unit 17 is designed to determine the value of the reserve bit field.

Десятый блок дешифрации 19 предназначен для определения случая установки флага АСК и формирования управляющего сигнала, поступающего на девятый счетчик 22.The tenth decryption unit 19 is intended to determine the case of setting the ASK flag and generating a control signal supplied to the ninth counter 22.

Восьмой блок дешифрации 20 используется для определения случая установки всех флагов.The eighth decryption unit 20 is used to determine if all flags are set.

Девятый блок дешифрации 21 используется для определения случая одновременной установки флагов SYN/FIN.The ninth decryption unit 21 is used to determine if the SYN / FIN flags are set simultaneously.

Одиннадцатый блок дешифрации 23 записывает 4 байта номера АСК и формирует сигнал для записи значения флага в четвертый блок памяти 28.The eleventh decryption unit 23 writes 4 bytes of the ASK number and generates a signal for writing the flag value to the fourth memory unit 28.

Двенадцатый блок дешифрации 30 предназначен для записи в него 4 байт поля «Опции».The twelfth decryption unit 30 is designed to write 4 bytes of the Options field to it.

Схема блоков дешифрации известны и описаны на фиг.2 патента РФ №2219577.The scheme of decryption blocks is known and described in figure 2 of the patent of the Russian Federation No. 22199577.

Первый блок сравнения 13 предназначен для сравнения значений IP-адресов отправителя и получателя с соответствующими эталонными значениями и выработки управляющих сигналов на блок управления 24.The first comparison unit 13 is designed to compare the values of the IP addresses of the sender and receiver with the corresponding reference values and generate control signals to the control unit 24.

Второй блок сравнения 32 предназначен для сравнения значений поля «Опции» с соответствующими эталонными значениями и выработки управляющих сигналов на блок управления 24.The second comparison unit 32 is designed to compare the values of the Options field with the corresponding reference values and generate control signals to the control unit 24.

Схема компараторов известна и описана на рис.1.134 стр.185 в книге Шило В.Л. «Популярные цифровые микросхемы»: Справочник - М: Радио и связь, 1987.The comparator circuit is known and described in Fig.1.134 p.185 in the book Shilo V.L. “Popular Digital Chips”: Handbook - M: Radio and Communications, 1987.

Блок управления 24 предназначен для выработки управляющих сигналов при реализации требуемого алгоритма работы устройством обнаружения удаленных компьютерных атак. Схема блока управления 24 может быть реализована различным образом, в частности как показано на фиг.2.The control unit 24 is designed to generate control signals when implementing the required algorithm of the device for detecting remote computer attacks. The circuit of the control unit 24 can be implemented in various ways, in particular as shown in FIG.

Блок управления 24 содержит элементы ИЛИ 24.1 и 24.3, устройство задержки 24.2 и шифраторы 24.4-24.7. Схемы элементов ИЛИ известны и показаны на рис.167 стр.78 в книге Якубовский С. В «Цифровые и аналоговые интегральные микросхемы»: Справочник. - М.: Радио и связь, 1990.The control unit 24 contains the elements OR 24.1 and 24.3, a delay device 24.2 and encoders 24.4-24.7. Schemes of OR elements are known and are shown in Fig. 167 p. 78 in the book by S. Yakubovsky. “Digital and analog integrated circuits”: Reference. - M .: Radio and communications, 1990.

В качестве устройства задержки 24.2 может быть использована одна из известных микросхем, например, показанная на рис.1.78 стр.111 в книге Шило В.Л. «Популярные цифровые микросхемы»: Справочник - М: Радио и связь, 1987.As a delay device 24.2, one of the known microcircuits can be used, for example, shown in Fig. 1.78 p. 111 in the book Shilo V.L. “Popular Digital Chips”: Handbook - M: Radio and Communications, 1987.

В качестве шифраторов 24.4-24.7 может быть использована одна из известных микросхем, например, показанная на рис.1.101 стр.141 в книге Шило В.Л. «Популярные цифровые микросхемы»: Справочник - М: Радио и связь, 1987.As encoders 24.4-24.7, one of the known microcircuits can be used, for example, shown in Fig.1.101 p.141 in the book Shilo V.L. “Popular Digital Chips”: Handbook - M: Radio and Communications, 1987.

Блок индикации 25 предназначен для визуального отображения принятого решения. Схемы индикаторов известны и описаны на рис.7.1 на стр.197 в книге Вениаминов В.Н., Лебедев О.Н., Мирошниченко А.И. «Микросхемы и их применение»: Справочное пособие. - М.: Радио и связь, 1989.The display unit 25 is designed to visually display the decision. The indicator schemes are known and described in Fig. 7.1 on p. 97 in the book Veniaminov V.N., Lebedev O.N., Miroshnichenko A.I. “Chips and their application”: Reference manual. - M.: Radio and Communications, 1989.

Разрядность шины «Входная шина сообщений» определяется разрядностью анализируемых пакетов сообщений, в связи с тем, что устройство обрабатывает байты, шина является восьмиразрядной.The bit depth of the bus "Input bus messages" is determined by the bit depth of the analyzed message packets, due to the fact that the device processes bytes, the bus is eight-bit.

Заявленное УОУКА работает следующим образом.Declared UOKA works as follows.

При получении с выхода блока управления 24 разрешения на запись (логическая «1») производится заполнение ячеек оперативного запоминающего устройства первого блока памяти 1 байтами пакета, поступившими с демодулирующего устройства (канального контроллера). После того как записаны все байты очередного пакета анализируемого протокола, на выходе блока управления 24 формируется разрешение на побайтное считывание информации (логический «0»).Upon receipt of write permission from the control unit 24 output (logical “1”), the cells of the random access memory of the first memory block are filled with 1 byte of packet received from the demodulating device (channel controller). After all the bytes of the next packet of the analyzed protocol are recorded, the output of the control unit 24 generates a permission for byte-by-line reading of information (logical “0”).

С выхода первого блока памяти 1 байты пакетов последовательно поступают на информационные входы первого 3, второго 4, третьего 8, четвертого 11, пятого 12, шестого 15, седьмого 17, восьмого 20, девятого 21, десятого 19, одиннадцатого 23 и двенадцатого 30 блоков дешифрации.From the output of the first memory block 1 bytes of packets are sequentially fed to the information inputs of the first 3, second 4, third 8, fourth 11, fifth 12, sixth 15, seventh 17, eighth 20, ninth 21, tenth 19, eleventh 23 and twelfth 30 decryption units .

При поступлении на вход 2.1 первого счетчика 2 сигнала с блока управления 24 (логический «0») считывается 14 байт для определения в сигнальной цифровой последовательности значения «шесть» (06) в десятичном виде, соответствующего наличию в пакете протокола IP. Необходимо отметить, что в заявке рассматривается формат кадра Ethernet 802.3//LLC. В случае других типов кадра, например для Ethernet DIX (Ethernet II), длина этого поля составит 2 байта и его значение соответствует в десятичном виде числу «восемь» (0800) (Кульгин М. Технологии корпоративных сетей. Энциклопедия. - СПб.: Издательство "Питер", 1999. - 704 с.).When 2.1 of the first counter 2 receives a signal from the control unit 24 (logical “0”), 14 bytes are read to determine the value “six” (06) in decimal form in the signal digital sequence, which corresponds to the IP protocol packet. It should be noted that the application considers the frame format Ethernet 802.3 // LLC. In the case of other types of frames, for example, for Ethernet DIX (Ethernet II), the length of this field is 2 bytes and its value corresponds in decimal to the number “eight” (0800) (Kulgin M. Corporate Network Technologies. Encyclopedia. - St. Petersburg: Publishing House: "Peter", 1999. - 704 p.).

Если значение «шесть» не найдено, на первом выходе 3.3 первого блока дешифрации 3 формируется сигнал, поступающий на первый вход 24.1 блока управления 24.If the value of "six" is not found, at the first output 3.3 of the first decryption unit 3, a signal is generated that arrives at the first input 24.1 of the control unit 24.

На втором выходе 3.4 первого дешифратора 3 формируется управляющий сигнал, поступающий на второй счетчик 5, который отсчитывает 4 бита для обнаружения значения поля «Длина заголовка» и вырабатывает на первом выходе 5.2 управляющий сигнал разрешения записи этих бит во второй блок дешифрации 4, который служит для определения значения поля «Длина заголовка». На выходе второго блока дешифрации 4 формируется сигнал для записи значения поля «Длина заголовка» во второй блок памяти 6.At the second output 3.4 of the first decoder 3, a control signal is generated, which arrives at the second counter 5, which counts 4 bits to detect the value of the “Header Length” field and generates at the first output 5.2 a control signal for allowing these bits to be written to the second decryption unit 4, which serves to determine the value of the "Heading Length" field. At the output of the second decryption unit 4, a signal is generated to record the value of the “Header Length” field in the second memory unit 6.

На втором выходе 5.3 второго счетчика 5 формируется управляющий сигнал, поступающий на третий счетчик 7, который отсчитывает 8 байт для обнаружения 24-го байта пакета и вырабатывает управляющий сигнал разрешения записи этого байта в третий блок дешифрации 8. Блок дешифрации 8 предназначен для определения в этом байте числового значения «шесть» (06) в десятичном виде. В этом случае используемым протоколом является TCP. (Кульгин М. Технологии корпоративных сетей. Энциклопедия. - СПб.: Издательство "Питер", 1999. - 704 с.).At the second output 5.3 of the second counter 5, a control signal is generated, which arrives at the third counter 7, which counts 8 bytes to detect the 24th byte of the packet and generates a control signal for writing this byte to the third decryption unit 8. The decryption unit 8 is designed to determine this Give the decimal number six. In this case, the protocol used is TCP. (Kulgin M. Technologies of corporate networks. Encyclopedia. - St. Petersburg: Publishing House "Peter", 1999. - 704 p.).

Если значение «шесть» не найдено, то на первом выходе 8.3 третьего блока дешифрации 8 формируется сигнал, поступающий на второй вход блока управления 24.If the value of "six" is not found, then at the first output 8.3 of the third decryption unit 8, a signal is generated that arrives at the second input of the control unit 24.

На третьем выходе 8.5 третьего блока дешифрации 8 формируется сигнал, поступающий на четвертый счетчик 9, который отсчитывает 3 байта до появления первого байта поля адреса отправителя в заголовке IP-дейтаграммы и вырабатывает на выходе 9.2 управляющий сигнал разрешения записи следующих четырех байтов сигнальных цифровых последовательностей (27-30) в четвертый блок дешифрации 11. На втором выходе 8.4 третьего блока дешифрации 8 формируется сигнал, поступающий на пятый счетчик 10, который отсчитывает 4 байта до первого поля адреса получателя в заголовке IP-дейтаграммы и вырабатывает на выходе 10.2 управляющий сигнал разрешения записи следующих четырех байтов сигнальных цифровых последовательностей (31-34) в пятый блок дешифрации 12.At the third output 8.5 of the third decryption unit 8, a signal is generated that arrives at the fourth counter 9, which counts 3 bytes until the first byte of the sender address field appears in the header of the IP datagram and generates at the output 9.2 a control signal for recording the next four bytes of signal digital sequences (27 -30) to the fourth decryption block 11. At the second output 8.4 of the third decryption block 8, a signal is generated that arrives at the fifth counter 10, which counts 4 bytes to the first field of the recipient address in the header An IP-datagram is generated and generates at the output 10.2 a control signal for recording the next four bytes of signal digital sequences (31-34) in the fifth decryption unit 12.

В первом блоке сравнения 13 выделенные значения параметров адресов сравниваются с соответствующими эталонными значениями, хранящимися в третьем блоке памяти 26 и в случае их совпадения на втором выходе блока 13 вырабатывается управляющий сигнал в виде логической "1", поступающей на третий вход блока управления 24. Если адреса не совпали, вырабатывается управляющий сигнал - логический "0".In the first comparison unit 13, the selected values of the address parameters are compared with the corresponding reference values stored in the third memory unit 26 and, if they coincide, a control signal is generated in the form of a logical “1” at the second output of the unit 13 and fed to the third input of the control unit 24. If the addresses did not match, a control signal is generated - a logical "0".

На втором выходе 13.5 первого блока сравнения 13 вырабатывается управляющий сигнал, поступающий на второй вход 14.2 шестого счетчика 14, который отыскивает поле, содержащее номер порта источника в заголовке TCP. На выходе 14.3 шестого счетчика 14 вырабатывается управляющий сигнал разрешения записи следующих двух байтов сигнальных цифровых последовательностей в шестой блок дешифрации 15. Шестой блок дешифрации 15 предназначен для определения в этом байте числового значения «ноль» (00) в десятичном виде. В этом случае на втором выходе блока 15 вырабатывается управляющий сигнал, поступающий на четвертый вход блока управления 24.At the second output 13.5 of the first comparison unit 13, a control signal is generated that is supplied to the second input 14.2 of the sixth counter 14, which searches for a field containing the source port number in the TCP header. At the output 14.3 of the sixth counter 14, a control signal is generated to enable the next two bytes of the signal digital sequences to be written to the sixth decryption unit 15. The sixth decryption unit 15 is used to determine the numerical value “zero” (00) in this byte in decimal form. In this case, at the second output of block 15, a control signal is generated that is fed to the fourth input of control unit 24.

С первого выхода шестого блока дешифрации 15 поступает управляющий сигнал на седьмой счетчик 16, который отыскивает поле, содержащее значение резервных битов заголовка TCP-пакета. Седьмой счетчик 16 вырабатывает управляющие сигналы для записи в седьмой блок дешифрации 17 следующих 6 бит. Седьмой блок дешифрации 17 предназначен для определения значения поля резервных бит. Если это значение отлично от «нуля» (00) в десятичном виде, на первом выходе дешифратора 17 формируется управляющий сигнал, поступающий на пятый вход блока управления 24.From the first output of the sixth decryption unit 15, a control signal is supplied to the seventh counter 16, which searches for a field containing the value of the reserve bits of the TCP packet header. The seventh counter 16 generates control signals for writing to the seventh decryption unit 17 of the next 6 bits. The seventh decryption unit 17 is designed to determine the value of the reserve bit field. If this value is other than "zero" (00) in decimal form, a control signal is generated at the first output of the decoder 17, which is fed to the fifth input of the control unit 24.

Со второго выхода 17.4 седьмого блока дешифрации 17 формируется управляющий сигнал, поступающий на восьмой счетчик 18, который отыскивает поле «Флаг» в заголовке TCP-пакетов и формирует управляющие сигналы для записи следующих 6 бит в восьмой 20, девятый 21 и десятый 19 блоки дешифрации. Восьмой 20, девятый 21, десятый 19 блоки дешифрации предназначены для определения состояния поля «Флаги» путем сложения с определенной маской.From the second output 17.4 of the seventh decryption unit 17, a control signal is generated, which arrives at the eighth counter 18, which searches for the “Flag” field in the header of TCP packets and generates control signals for recording the next 6 bits in the eighth 20, ninth 21, and tenth 19 decryption blocks. The eighth 20, ninth 21, tenth 19 decryption units are designed to determine the state of the Flags field by adding to a specific mask.

Восьмой блок дешифрации 20 используется для определения случая установки всех флагов, в этом случае на его первом выходе формируются управляющий сигнал в виде логической «1», поступающий на шестой вход блока управления 24, в противном случае формируется логический «0». Кроме того, формируется управляющий сигнал для записи значения флага в четвертый блок памяти 28.The eighth decryption unit 20 is used to determine the case of setting all flags, in this case, at its first output, a control signal is generated in the form of a logical "1", which is fed to the sixth input of the control unit 24, otherwise a logical "0" is generated. In addition, a control signal is generated for writing the flag value to the fourth memory block 28.

Девятый блок дешифрации 21 используется для определения случая одновременной установки флагов SYN/FIN, в этом случае на его первом выходе формируются управляющий сигнал - логическая «1», поступающий на шестой вход блока управления 24, в противном случае формируется логический «0». Кроме того, формируется управляющий сигнал для записи значения флага в четвертый блок памяти 28.The ninth decryption unit 21 is used to determine the case of the simultaneous setting of SYN / FIN flags, in this case, a control signal is generated at its first output - logical "1", which is fed to the sixth input of control unit 24, otherwise a logical "0" is generated. In addition, a control signal is generated for writing the flag value to the fourth memory block 28.

Десятый блок дешифрации 19 используется для определения случая установки флага АСК, в этом случае на его втором выходе формируется управляющий сигнал, поступающий на девятый счетчик 22. Если флаг не установлен, то управляющий сигнал формируется на первом выходе блока 19 и поступает на вход блока управления 24. Девятый счетчик 22 отыскивает поле номера АСК и вырабатывает управляющие сигналы, служащие для записи в одиннадцатый блок 23 дешифрации 4 байта номера АСК. Если значение этого поля отлично от «нуля» (00) в десятичном виде, то на первом выходе блока 23 формируется управляющий сигнал - логическая «1», поступающий на вход блока управления 24, в противном случае формируется логический «0». Кроме того, формируется управляющий сигнал для записи значения флага в четвертый блок памяти 28.The tenth decryption unit 19 is used to determine the case of setting the ASK flag, in this case, a control signal is generated at its second output, which arrives at the ninth counter 22. If the flag is not set, the control signal is generated at the first output of block 19 and is input to the control unit 24 The ninth counter 22 searches for the ACK number field and generates control signals for writing to the eleventh decryption unit 23 of the 4 bytes of the ACK number. If the value of this field is different from "zero" (00) in decimal form, then a control signal is generated at the first output of block 23 - a logical "1", which is input to the control unit 24, otherwise a logical "0" is generated. In addition, a control signal is generated for writing the flag value to the fourth memory block 28.

В четвертом блоке памяти 28 производится сбор статистики числа пакетов сообщений, с целью выявления факта воздействия пассивных компьютерных атак.In the fourth memory block 28, statistics are collected on the number of message packets in order to identify the impact of passive computer attacks.

В качестве признаков, указывающих на факт воздействия на ИТКС пассивных компьютерных атак нарушителем приняты:The following are accepted as signs indicating the fact that passive computer attacks have affected ITKS:

последовательное получение в интервале времени UDP-пакетов (фиг.5);sequentially receiving UDP packets in the time interval (FIG. 5);

последовательное получение в интервале времени ICMP-запросов (фиг.6);consecutive receipt in the time interval of ICMP requests (Fig.6);

последовательное получение в интервале времени TCP-пакетов с установленным одним из видов флагов SYN, FIN, АСК, XMAS, NULL.consecutive receipt in the time interval of TCP packets with one of the types of flags SYN, FIN, ASK, XMAS, NULL set.

Это аргументируется следующим. При установке ТСР-соединения первым ПС, который направляют в ИТКС, является ПС с установленным флагом SYN. В зависимости от того, присутствует ли в ИТКС ПЭВМ и/или сервер с указанным адресом, на котором включена необходимая служба, возможны три ситуации. В том случае, если ПЭВМ присутствует и на нем функционирует запрашиваемый порт, ответом будет ПС с флагами АСК и SYN, указывающими на то, что по данному порту может быть установлено соединение. Анализируя данный ответ, нарушитель не только может установить факт присутствия в ИТКС ПЭВМ и/или сервера, но и определить наличие на них определенной сетевой службы.This is argued as follows. When a TCP connection is established, the first MS sent to ITKS is the MS with the SYN flag set. Depending on whether a personal computer and / or server is present in ITKS and / or a server with the specified address on which the necessary service is enabled, three situations are possible. In the event that a PC is present and the requested port is functioning on it, the response will be the PS with the ASK and SYN flags indicating that a connection can be established on this port. Analyzing this answer, the intruder can not only establish the fact of the presence of a PC and / or server in ITKS, but also determine the presence of a certain network service on them.

Если ПЭВМ и/или сервер присутствует, но запрашиваемый порт на нем закрыт, в ответ отправляют TCP-пакет с флагами АСК и RST, указывающими на то, что по запрашиваемому порту соединение установить нельзя. Получив подобный ответ, нарушитель принимает решение о присутствии в ИТКС ПЭВМ и/или сервера с интересующим IP-адресом, но недоступности запрашиваемого порта. Если в ИТКС нет искомого ПЭВМ и/или сервера, то в ответ не будет получено ничего [стандарт Request for Comments, http://tools.ietf.org/html/rfc793 (обращение 29.07.2013)].If the PC and / or server is present, but the requested port is closed on it, a TCP packet with ASK and RST flags is sent in response, indicating that the connection cannot be established on the requested port. Upon receiving such a response, the intruder decides on the presence in the ITKS of the personal computer and / or server with the IP address of interest, but the unavailability of the requested port. If ITKS does not have the required PC and / or server, then nothing will be returned in response [standard Request for Comments, http://tools.ietf.org/html/rfc793 (accessed 07.29.2013)].

С целью определения наличия открытых TCP-портов в ПЭВМ и/или серверах, входящих в состав ИТКС, нарушители работают в следующей последовательности:In order to determine the presence of open TCP ports in the PC and / or servers that are part of the ITKS, violators work in the following sequence:

отправляют на порт ПЭВМ и/или сервера ПС с флагом SYN с целью организации соединения, и ожидают ответ. Наличие в ответе ПС с флагом АСК означает, что порт открыт, а получение в ответ ПС с флагом RST означает, что порт закрыт;send to the PC port and / or the PS server with the SYN flag in order to establish a connection, and wait for a response. The presence in the response of the MS with the ASK flag means that the port is open, and the receipt of the MS with the RST flag in response means that the port is closed;

направляют на порт ПЭВМ и/или сервера ПС с флагом FIN. На прибывший ПС с флагом FIN на закрытый порт ПЭВМ и/или сервер должен ответить ПС с флагом RST, если порт открытый, то ПС с флагом FIN игнорируют;sent to the port of the PC and / or the PS server with the FIN flag. The PS with the RST flag must respond to the arriving MS with the FIN flag to the closed PC port and / or the server; if the port is open, then the MS with the FIN flag is ignored;

посылают на порт ПЭВМ и/или сервера ПС с флагом АСК. На прибывший ПС с флагом АСК на закрытый порт ПЭВМ и/или сервер должен ответить RST-пакетом, если порт открытый, то ПС с флагом АСК игнорируют;send to the port of the PC and / or server PS with the flag ASK. The PC and / or server must respond with an RST packet to the arriving MS with the ASK flag and the server must respond with an RST packet; if the port is open, then the MS with the ASK flag is ignored;

отправляют на ПЭВМ и/или сервер ПС с установленными всеми флагами XMAS или сброшенными флагами (NULL). На прибывший ПС с данными значениями флагов на закрытый порт ПЭВМ и/или сервер должен ответить ПС с флагом RST. Указанные пакеты, направленные на открытые порты, игнорируют.send to the PC and / or PS server with all XMAS flags set or NULL flags cleared. The PS with the RST flag should respond to the arriving MS with these flag values to the closed PC port and / or server. The specified packets directed to open ports are ignored.

С целью обнаружения открытых UDP-портов в ПЭВМ и/или сервере нарушители направляют UDP-пакет. Если порт открыт, то в ответ ПЭВМ и/или сервер либо ничего не отправляют, либо отправляют ответный UDP-пакет. Если же порт закрыт, то тестируемый ПЭВМ и/или сервер отвечают ICMP-сообщением. В зависимости от полученного ответа нарушители делают соответствующие выводы.In order to detect open UDP ports in a PC and / or server, intruders send a UDP packet. If the port is open, then in response to the PC and / or the server, either they do not send anything, or they send a response UDP packet. If the port is closed, then the tested PC and / or server respond with an ICMP message. Depending on the response received, violators draw appropriate conclusions.

Протокол ICMP используют для определения доступности ПЭВМ и/или серверов ИТКС. Последовательное выполнение ICMP-запросов с перебором адресов из определенного диапазона является КА.ICMP is used to determine the availability of PCs and / or ITKS servers. Sequential execution of ICMP requests with enumeration of addresses from a certain range is a spacecraft.

Кроме того, по получаемому ICMP-ответу, а именно по коду ICMP-пакета, нарушители определяют типы операционной системы ПЭВМ и/или серверов.In addition, according to the received ICMP response, namely, the code of the ICMP packet, violators determine the types of PC operating system and / or servers.

Реализация пассивных КА является первым этапом воздействия нарушителей на ИТКС и направлена на изучение топологии атакуемой ИТКС, определение типа и версии операционной системы ПЭВМ и/или серверов, выявление доступных сетевых и иных сервисов в атакуемой ИТКС.The implementation of passive spacecraft is the first stage of the attack on ITKS and is aimed at studying the topology of the attacked ITKS, determining the type and version of the PC operating system and / or servers, identifying available network and other services in the attacked ITKS.

При получении в течение одной минуты трех и более пакетов сообщений с одинаковыми флагами или протоколами перенаправляют последующие пакеты сообщений с идентичным «Флагом» и/или видом протокола в ложную сеть. Порядок работы ложной сети известен и описан в статье Сморчкова Е.В., Наконечного Б.М., Нижниковского А.В. Механизм функционирования ложных сетевых информационных объектов в локальных вычислительных сетях // Известия института инженерной физики, №3, 2011. - стр.7-10. При этом формируется управляющий сигнал - логическая «1», поступающий на десятый вход блока управления 24, иначе же формируется логический «0».When three or more message packets with the same flags or protocols are received within one minute, subsequent message packets with the same “Flag” and / or protocol type are redirected to the false network. The operation of the false network is known and described in the article by Smorchkov E.V., Nakonechny B.M., Nizhnikovsky A.V. The mechanism of functioning of false network information objects in local area networks // News of the Institute of Engineering Physics, No. 3, 2011. - pp. 7-10. In this case, a control signal is generated - a logical “1”, which is fed to the tenth input of the control unit 24, otherwise a logical “0” is generated.

На втором выходе восьмого счетчика 18 формируется управляющий сигнал, поступающий на десятый счетчик 29, который отчитывает 4 байта для определения значения поля «Опции» и вырабатывает на первом выходе управляющий сигнал разрешения сохранения этих байт в двенадцатый блок дешифрации 30, который служит для определения параметров поля «Опции».At the second output of the eighth counter 18, a control signal is generated, which arrives at the tenth counter 29, which reads 4 bytes to determine the value of the "Options" field and generates a control signal for the storage of these bytes to the twelfth decryption unit 30, which serves to determine the field parameters at the first output "Options."

Поле «Опции» является необязательным и имеет переменную длину. Поддержка опций должна реализоваться во всех модулях IP (узлах и маршрутизаторах). Стандартом определены 8 опций. В предлагаемом устройстве используется опция - «запись маршрута» и/или «безопасности» [RFC 791, Internet Protocol, 1981, сентябрь, стр.14-22].The Options field is optional and has a variable length. Support for options should be implemented in all IP modules (nodes and routers). The standard defines 8 options. The proposed device uses the option “route recording” and / or “security” [RFC 791, Internet Protocol, 1981, September, pp. 14-22].

Во втором блоке сравнения 32 выделенные параметры поля «Опции» сравниваются с эталонными значениями, хранящими в пятом блоке памяти 31 и в случае их совпадения на первом выходе блока сравнения 32 вырабатывается управляющий сигнал в виде логической «1», поступающей на тринадцатый вход блока управления 24. Если значения поля «Опции» не совпали, на первом выходе вырабатывается управляющий сигнал - логический «0», поступающий на двенадцатый вход блока управления 24.In the second comparison block 32, the selected parameters of the Options field are compared with the reference values stored in the fifth memory block 31 and, if they coincide, the control signal is generated in the form of a logical “1” at the thirteenth input of the control unit 24 at the first output of the comparison block 32 If the values of the "Options" field did not match, a control signal is generated at the first output - a logical "0", which is received at the twelfth input of the control unit 24.

При поступлении управляющего сигнала на первый вход блока управления 24 формируется управляющий сигнал на его четырнадцатом выходе.Upon receipt of the control signal at the first input of the control unit 24, a control signal is generated at its fourteenth output.

При поступлении управляющего сигнала на второй вход блока управления 24 включается линия задержки до момента поступления сигнала на его третий вход, после чего формируется управляющий сигнал на четырнадцатом выходе блока управления 24.Upon receipt of the control signal at the second input of the control unit 24, a delay line is turned on until the signal arrives at its third input, after which a control signal is generated at the fourteenth output of the control unit 24.

При поступлении управляющего сигнала на входы с третьего по одиннадцатый блока управления 24 подключается соответствующий шифратор. Шифратор необходим для преобразования сигналов, поступающих на его информационный вход в кодовую комбинацию, соответствующую сообщению, которое передается на пятнадцатый выход блока управления 24.Upon receipt of the control signal at the inputs from the third to eleventh control unit 24, the corresponding encoder is connected. The encoder is needed to convert the signals received at its information input into a code combination corresponding to the message that is transmitted to the fifteenth output of the control unit 24.

При получении на двенадцатый вход блока управления 24 управляющего сигнала на его пятнадцатом выходе формируется управляющий сигнал, поступающий на первый блок памяти 1, по которому происходит обнуление ячеек памяти. Устройство готово к ведению анализа вновь поступающей входной цифровой последовательности.Upon receipt of the control signal at the twelfth input of the control unit 24, a control signal is generated at its fifteenth output, which is transmitted to the first memory unit 1, through which the memory cells are reset. The device is ready for analysis of the newly incoming digital input sequence.

Через управляющий вход устройства администратор обновляет эталонные значения параметров пакетов сообщений. Для этого администратор в тестовом режиме функционирования ИТКС измеряет реальные значения полей данных пакетов сообщений для маршрута между каждой парой доверенных адресов получателя и отправителя. После передачи пакета сообщения по ИТКС от отправителя к получателю сообщения, по определенному маршруту, адреса отправителя и получателя (поля «IP адрес отправителя», «IP адрес получателя») и маршрут прохождения пакета (поле «опции») будут иметь одинаковые значение для всех пакетов сообщений, проходящих по этому маршруту. Эти значения запоминают в соответствующие блоки памяти. После того как все эталонные значения проверяемых параметров собраны и записаны в соответствующие блоки памяти, осуществляется перевод ИТКС в режим реальной работы.Through the control input of the device, the administrator updates the reference values of the message packet parameters. To do this, the administrator in the test mode of ITKS operation measures the real values of the data fields of message packets for the route between each pair of trusted addresses of the recipient and sender. After the message packet is transmitted via ITKS from the sender to the receiver of the message, along a certain route, the sender and receiver addresses (fields “IP address of the sender”, “IP address of the receiver”) and the route of the packet (field “options”) will have the same value for all message packets passing along this route. These values are stored in the corresponding memory blocks. After all the reference values of the checked parameters are collected and recorded in the corresponding memory blocks, the ITKS is transferred to the real mode of operation.

Таким образом, благодаря мониторингу широкого спектра существенных признаков компьютерных атак и обнаружению пассивных КА повысилась достоверность их обнаружения, характеризуемая вероятностью обнаружения (Робн). С помощью моделирования получена взаимосвязь значений вероятности обнаружении компьютерных атак от объема полученных пакетов сообщений.Thus, by monitoring a wide range of essential signs of computer attacks and detecting passive spacecraft, the reliability of their detection, characterized by the probability of detection (P obn ), has increased. Using modeling, the relationship between the probability values of detecting computer attacks and the volume of received message packets is obtained.

Достижение технического результата поясняется следующим образом. Для способа-прототипа из-за проверки малого количества признаков характеризующих удаленные компьютерные атаки вероятность обнаружения компьютерных атак (Р1обн) ниже, чем у прототипа (Р2обн) в 0,78 раз.The achievement of the technical result is illustrated as follows. For the prototype method, due to checking a small number of signs characterizing remote computer attacks, the probability of detecting computer attacks (P1 obn ) is lower than that of the prototype (P2 obn ) by 0.78 times.

При этом разница в вероятности обнаружения компьютерных атак тем больше, чем больше объем пакетов сообщений, чем и достигается сформулированный технический результат, т.е. повышение достоверности обнаружения компьютерных атак.Moreover, the difference in the probability of detecting computer attacks is greater, the greater the volume of message packets, which is achieved by the formulated technical result, i.e. increase the reliability of detection of computer attacks.

Полученные результаты расчетов подтверждают возможность достижения указанного технического результата при использовании заявленного устройства.The obtained calculation results confirm the possibility of achieving the specified technical result when using the claimed device.

Claims (1)

Устройство обнаружения удаленных компьютерных атак, содержащее первый блок памяти, снабженный входной шиной сообщений, а его информационный выход подключен к первым информационным входам первого, третьего, четвертого, пятого, шестого, седьмого, десятого, восьмого, девятого и одиннадцатого блоков дешифрации, первый управляющий вход первого блока памяти подключен к управляющему входу первого счетчика, управляющий выход которого подключен ко второму управляющему входу первого блока дешифрации, управляющие выходы которого подключены соответственно к первому управляющему входу блока управления и управляющему входу второго счетчика, первый управляющий выход которого подключен к управляющему входу второго блока дешифрации, управляющий выход которого подключен к управляющему входу второго блока памяти, информационный выход которого подключен к первому информационному входу шестого счетчика, второй управляющий вход которого подключен ко второму управляющему выходу первого блока сравнения, управляющий выход шестого счетчика подключен ко второму управляющему входу шестого блока дешифрации, первый управляющий выход которого подключен к четвертому управляющему входу блока управления, пятый управляющий вход которого подключен к первому управляющему выходу седьмого блока дешифрации, второй управляющий выход которого подключен к управляющему входу восьмого счетчика, второй управляющий выход которого подключен ко вторым управляющим входам десятого, восьмого и девятого блоков дешифрации, первый управляющий выход которого подключен к шестому управляющему входу блока управления, седьмой и восьмой управляющие входы которого подключены соответственно к первому управляющему выходу восьмого блока дешифрации и первому управляющему выходу десятого блока дешифрации, второй управляющий выход которого подключен к управляющему входу девятого счетчика, управляющий выход которого подключен к первому управляющему входу одиннадцатого блока дешифрации, первый управляющий выход которого подключен к десятому управляющему входу блока управления, второй и третий управляющие входы которого подключены соответственно к первому управляющему выходу третьего блока дешифрации и первому управляющему выходу первого блока сравнения, второй информационный вход которого подключен к информационному выходу пятого блока дешифрации, второй управляющий вход которого подключен к управляющему выходу пятого счетчика, информационный вход которого подключен ко второму информационному выходу третьего блока дешифрации, третий информационный выход которого подключен к информационному входу четвертого счетчика, управляющий выход которого подключен ко второму управляющему входу четвертого блока дешифрации, информационный выход которого подключен к третьему информационному входу первого блока сравнения, второй управляющий выход второго счетчика подключен к управляющему входу третьего счетчика, управляющий выход которого подключен ко второму управляющему входу третьего блока дешифрации, второй управляющий выход шестого блока дешифрации подключен к управляющему входу седьмого счетчика, управляющий выход которого подключен ко второму управляющему входу седьмого блока дешифрации, первый, второй и третий управляющие выходы блока управления подключены соответственно к первому и второму управляющим входам первого блока памяти, а также к управляющему входу блока индикации, отличающееся тем, что дополнительно введены второй блок сравнения, двенадцатый блок дешифрации, десятый счетчик, а также третий, пятый и четвертый блоки памяти, первый управляющий выход которого подключен к девятому управляющему входу блока управления, двенадцатый и тринадцатый управляющие входы которого подключены соответственно к первому и второму управляющим выходам второго блока сравнения, первый и второй информационные входы которого подключены соответственно к информационным выходам пятого блока памяти и двенадцатого блока дешифрации, первый управляющий выход которого подключен к одиннадцатому управляющему входу блока управления, первый и второй информационные входы двенадцатого блока дешифрации подключены соответственно к информационному выходу первого блока памяти и управляющему выходу десятого счетчика, управляющий вход которого подключен к первому управляющему выходу восьмого счетчика, второй и третий информационные входы четвертого блока памяти подключены соответственно ко второму информационному выходу одиннадцатого блока дешифрации и вторым информационным выходам восьмого и девятого блоков дешифрации, информационный выход третьего блока памяти подключен к первому информационному входу первого блока сравнения, причем управляющие входы третьего, четвертого и пятого блоков памяти объединены и являются управляющим входом устройства, четвертый блок памяти снабжен информационным выходом подключения к ложной сети. A device for detecting remote computer attacks containing a first memory block equipped with an input message bus, and its information output is connected to the first information inputs of the first, third, fourth, fifth, sixth, seventh, tenth, eighth, ninth and eleventh decryption blocks, the first control input the first memory block is connected to the control input of the first counter, the control output of which is connected to the second control input of the first decryption block, the control outputs of which are connected respectively, to the first control input of the control unit and the control input of the second counter, the first control output of which is connected to the control input of the second decryption unit, the control output of which is connected to the control input of the second memory block, the information output of which is connected to the first information input of the sixth counter, the second control input which is connected to the second control output of the first comparison unit, the control output of the sixth counter is connected to the second control input of the decryption unit, the first control output of which is connected to the fourth control input of the control unit, the fifth control input of which is connected to the first control output of the seventh decryption unit, the second control output of which is connected to the control input of the eighth counter, the second control output of which is connected to the second control inputs of the tenth , the eighth and ninth decryption blocks, the first control output of which is connected to the sixth control input of the control unit, the seventh and eighth control the control inputs of which are connected respectively to the first control output of the eighth decryption unit and the first control output of the tenth decryption unit, the second control output of which is connected to the control input of the ninth counter, the control output of which is connected to the first control input of the eleventh decryption unit, the first control output of which is connected to the tenth the control input of the control unit, the second and third control inputs of which are connected respectively to the first control output the third decryption unit and the first control output of the first comparison unit, the second information input of which is connected to the information output of the fifth decryption unit, the second control input of which is connected to the control output of the fifth counter, the information input of which is connected to the second information output of the third decryption unit, the third information output of which connected to the information input of the fourth counter, the control output of which is connected to the second control input of the fourth block decryption, the information output of which is connected to the third information input of the first comparison unit, the second control output of the second counter is connected to the control input of the third counter, the control output of which is connected to the second control input of the third decryption unit, the second control output of the sixth decryption unit is connected to the control input of the seventh counter, the control output of which is connected to the second control input of the seventh decryption unit, the first, second and third control outputs the control unit are connected respectively to the first and second control inputs of the first memory unit, as well as to the control input of the display unit, characterized in that a second comparison unit, a twelfth decryption unit, a tenth counter, as well as a third, fifth and fourth memory blocks, the first the control output of which is connected to the ninth control input of the control unit, the twelfth and thirteenth control inputs of which are connected respectively to the first and second control outputs of the second block avonii, the first and second information inputs of which are connected respectively to the information outputs of the fifth memory block and the twelfth decryption block, the first control output of which is connected to the eleventh control input of the control unit, the first and second information inputs of the twelfth decryption block are connected respectively to the information output of the first memory block and the control output of the tenth counter, the control input of which is connected to the first control output of the eighth counter, the second and third the information inputs of the fourth memory block are connected respectively to the second information output of the eleventh decryption block and the second information outputs of the eighth and ninth decryption blocks, the information output of the third memory block is connected to the first information input of the first comparison block, and the control inputs of the third, fourth and fifth memory blocks are combined and are the control input of the device, the fourth memory block is equipped with an information output connecting to a false network.
RU2014108176/08A 2014-03-03 2014-03-03 Detector of remote computer attacks RU2540838C1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
RU2014108176/08A RU2540838C1 (en) 2014-03-03 2014-03-03 Detector of remote computer attacks

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
RU2014108176/08A RU2540838C1 (en) 2014-03-03 2014-03-03 Detector of remote computer attacks

Publications (1)

Publication Number Publication Date
RU2540838C1 true RU2540838C1 (en) 2015-02-10

Family

ID=53286986

Family Applications (1)

Application Number Title Priority Date Filing Date
RU2014108176/08A RU2540838C1 (en) 2014-03-03 2014-03-03 Detector of remote computer attacks

Country Status (1)

Country Link
RU (1) RU2540838C1 (en)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2270478C1 (en) * 2004-07-26 2006-02-20 Военный университет связи Device for monitoring safety of automated systems
RU2301443C2 (en) * 2005-07-04 2007-06-20 Государственное образовательное учреждение высшего профессионального образования Академия Федеральной службы охраны Российской Федерации (Академия ФСО России) Information searching device
RU2313127C2 (en) * 2005-07-26 2007-12-20 Закрытое акционерное общество "Центр открытых систем и высоких технологий" Device for protecting informational resources of a computer network
RU2321055C2 (en) * 2006-05-12 2008-03-27 Общество с ограниченной ответственностью Фирма "Анкад" Device for protecting information from unsanctioned access for computers of informational and computing systems

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2270478C1 (en) * 2004-07-26 2006-02-20 Военный университет связи Device for monitoring safety of automated systems
RU2301443C2 (en) * 2005-07-04 2007-06-20 Государственное образовательное учреждение высшего профессионального образования Академия Федеральной службы охраны Российской Федерации (Академия ФСО России) Information searching device
RU2313127C2 (en) * 2005-07-26 2007-12-20 Закрытое акционерное общество "Центр открытых систем и высоких технологий" Device for protecting informational resources of a computer network
RU2321055C2 (en) * 2006-05-12 2008-03-27 Общество с ограниченной ответственностью Фирма "Анкад" Device for protecting information from unsanctioned access for computers of informational and computing systems

Similar Documents

Publication Publication Date Title
Yang et al. RIHT: a novel hybrid IP traceback scheme
Aljifri et al. IP traceback using header compression
Ghani et al. Secure in-packet Bloom filter forwarding on the NetFPGA
AU2013207584B2 (en) Time-locked network and nodes for exchanging secure data packets
US9667650B2 (en) Anti-replay checking with multiple sequence number spaces
Patil et al. A Hybrid Traceback based Network Forensic Technique to Identifying Origin of Cybercrime.
CN108322454B (en) Network security detection method and device
Yang Hybrid single‐packet IP traceback with low storage and high accuracy
RU2540838C1 (en) Detector of remote computer attacks
CN104660584A (en) Trojan virus analysis technique based on network conversation
CN110881016B (en) Network security threat assessment method and device
RU2531878C1 (en) Method of detection of computer attacks in information and telecommunication network
Baskar et al. Adaptive IP traceback mechanism for detecting low rate DDoS attacks
Lindberg Security analysis of vehicle diagnostics using DoIP
Balyk et al. A survey of modern IP traceback methodologies
RU2566331C1 (en) Device for detecting computer attacks in routes
RU2483348C1 (en) Method to protect information computer networks against computer attacks
Yang et al. Identify encrypted packets to detect stepping-stone intrusion
RU2301443C2 (en) Information searching device
WO2014128840A1 (en) Data relay device, network system and data relay method
Mandal Covert Channel over ICMP
RU2417537C1 (en) Information search apparatus
Parashar et al. Improved deterministic packet marking algorithm
Priyanka et al. IP Traceback Techniques–A Selective Survey
KR101517328B1 (en) Arp spoofing detecting apparatus and detecting method of the same

Legal Events

Date Code Title Description
MM4A The patent is invalid due to non-payment of fees

Effective date: 20160304