RU2547628C2 - Method and apparatus for controlling distributed information system data streams - Google Patents

Method and apparatus for controlling distributed information system data streams Download PDF

Info

Publication number
RU2547628C2
RU2547628C2 RU2013136676/08A RU2013136676A RU2547628C2 RU 2547628 C2 RU2547628 C2 RU 2547628C2 RU 2013136676/08 A RU2013136676/08 A RU 2013136676/08A RU 2013136676 A RU2013136676 A RU 2013136676A RU 2547628 C2 RU2547628 C2 RU 2547628C2
Authority
RU
Russia
Prior art keywords
trace
unit
network
information
information system
Prior art date
Application number
RU2013136676/08A
Other languages
Russian (ru)
Other versions
RU2013136676A (en
Inventor
Владимир Владимирович Бухарин
Владимир Владимирович Дворядкин
Евгений Дмитриевич Пикалов
Олег Викторович Романюк
Андрей Ильич Куленич
Original Assignee
Государственное казенное образовательное учреждение высшего профессионального образования Академия Федеральной службы охраны Российской Федерации (Академия ФСО России)
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Государственное казенное образовательное учреждение высшего профессионального образования Академия Федеральной службы охраны Российской Федерации (Академия ФСО России) filed Critical Государственное казенное образовательное учреждение высшего профессионального образования Академия Федеральной службы охраны Российской Федерации (Академия ФСО России)
Priority to RU2013136676/08A priority Critical patent/RU2547628C2/en
Publication of RU2013136676A publication Critical patent/RU2013136676A/en
Application granted granted Critical
Publication of RU2547628C2 publication Critical patent/RU2547628C2/en

Links

Images

Abstract

FIELD: physics, computer engineering.
SUBSTANCE: group of inventions relates to means of controlling data streams in secure distributed information systems. The method includes specifying a table of reference routing files of a distributed information system in test operating mode thereof, consisting of reference routing files for all authorised users when said users access information resources and services of certain network nodes of the distributed information system. After permission to transmit a data stream in a switching unit at a certain network node, routing files are generated thereon when the i-th user accesses information resources and services of the j-th network node of the distributed information system; the obtained routing files are transmitted to an access control centre. The obtained routing files are compared with reference values; the j-th network node of the distributed information system is remembered when accessed by the i-th user if the routing files do not match. The switching table is then corrected and, using the new network interaction parameters, said data stream is blocked, and transmission continues in case of a match.
EFFECT: improved security of distributed information systems.
2 cl, 4 dwg

Description

Группа изобретений объединена единым изобретательским замыслом и относится к области обеспечения информационной безопасности, а именно к способам и средствам управления потоками данных в защищенных распределенных информационных системах, с целью предотвращения несанкционированного доступа пользователей к сетевым информационным ресурсам и сервисам посредством распределенного контроля устанавливаемых сетевых соединений.The group of inventions is united by a single inventive concept and relates to the field of ensuring information security, namely, to methods and means of managing data flows in secure distributed information systems in order to prevent unauthorized users from accessing network information resources and services through distributed control of established network connections.

Известен способ межсетевого экранирования, реализованный в «Устройстве и способе межсетевого экранирования», патент TW 243555, H04L 9/00, опубл. 11.11.2005. Способ заключается в фильтрации нежелательного сетевого трафика путем определения правил фильтрации для протоколов транспортного и сетевого уровней эталонной модели взаимосвязи открытых систем.A known method of firewalling implemented in the "Device and method of firewalling" patent TW 243555, H04L 9/00, publ. 11.11.2005. The method consists in filtering unwanted network traffic by defining filtering rules for the protocols of the transport and network layers of the reference model of the relationship of open systems.

Недостатком известного способа является отсутствие возможности непосредственной связи между протоколами верхнего прикладного уровня и целевыми функциями информационной системы, что усложняет верификацию правил фильтрации. Данный недостаток усугубляется тем, что из правил фильтрации невозможно однозначно определить, какие сетевые взаимодействия могут осуществляться, а какие - нет, поскольку это зависит от последовательности событий. Поэтому использование межсетевых экранов для управления потоками данных в распределенных информационных системах и контроля доступа к сетевым сервисам и ресурсам является нецелесообразным.The disadvantage of this method is the lack of direct communication between the protocols of the upper application level and the target functions of the information system, which complicates the verification of filtering rules. This drawback is aggravated by the fact that it is impossible to clearly determine from the filtering rules which network interactions can be carried out and which cannot, because it depends on the sequence of events. Therefore, the use of firewalls to control data flows in distributed information systems and to control access to network services and resources is impractical.

Известен также способ обнаружения вторжений по патенту US 7424744, G06F 11/00, опубл. 09.09.2008, «Система и способ обнаружения вторжений, основанных на сигнатурах». Способ заключается в фильтрации принятых пакетов согласно правил фильтрации и сравнении их сигнатур с имеющимися профилями.There is also known a method of detecting intrusions according to the patent US 7424744, G06F 11/00, publ. 09.09.2008, “System and method for detecting intrusions based on signatures”. The method consists in filtering received packets according to filtering rules and comparing their signatures with existing profiles.

Недостатком известного способа является отсутствие возможности управления потоками данных, и осуществление частичной фильтрации потоков данных.The disadvantage of this method is the inability to control data streams, and the implementation of partial filtering of data streams.

Известен «Сетевой коммутатор», патент WO 2008077320, H04L 12/28, опубл. 03.07.2008, который осуществляет управление потоками данных в вычислительной сети путем коммутации сетевых пакетов. В сетевом коммутаторе для определения порта назначения передаваемых сетевых пакетов применяется таблица соответствия между портами коммутатора и сетевыми адресами подключенных к ним сетевых устройств.Known "Network Switch", patent WO 2008077320, H04L 12/28, publ. 07/03/2008, which manages data flows in a computer network by switching network packets. In the network switch, to determine the destination port of the transmitted network packets, a correspondence table is used between the switch ports and the network addresses of network devices connected to them.

Недостатком известного устройства является коммутация потоков данных без учета требований безопасности и ограничений на доступ.A disadvantage of the known device is the switching of data streams without regard to security requirements and access restrictions.

Известен «Сетевой коммутатор с разграничением доступа», патент WO 2008128085, H04L 12/28, опубл. 23.10.2008, который осуществляет передачу потоков данных в вычислительной сети согласно правил безопасности сетевых пакетов.Known "Network switch with access control", patent WO 2008128085, H04L 12/28, publ. 10/23/2008, which transmits data streams in a computer network in accordance with network packet security rules.

Недостатком известного устройства является отсутствие возможности управления потоками данных и контроля доступа к сетевым сервисам и ресурсам на прикладном уровне.A disadvantage of the known device is the inability to control data flows and access control to network services and resources at the application level.

Наиболее близким по технической сущности к предлагаемому способу является «Способ управления потоками данных защищенных распределенных информационных систем в сети шифрованной связи», патент RU №2402881, МПК H04L 9/32, опубл. 27.10.2010 г, бюл. №30. Способ-прототип заключается в следующих действиях: задают таблицу коммутации, определяющую соответствие между портами устройства подключения и сетевыми адресами соединенных с ним устройств, управляют коммутацией сетевых соединений с использованием динамической таблицы коммутации, определяющей разрешенные маршруты передачи потоков данных, выявляют события безопасности в передаваемом потоке данных, временно блокируют поток данных при обнаружении событий безопасности анализируют обнаруженное событие для принятия решения о допустимости передачи связанного с этим событием потока данных, изменяют динамическую таблицу коммутации в зависимости от правил дополнительно определенной политики безопасности, блокируют поток либо передают его по назначению в зависимости от разрешения динамической таблицей коммутации сетевого взаимодействия, которое реализуется этим потоком данных.Closest to the technical nature of the proposed method is the "Method of managing data streams of protected distributed information systems in an encrypted communication network", patent RU No. 2402881, IPC H04L 9/32, publ. 10/27/2010, bull. No. 30. The prototype method consists in the following actions: set the switching table that defines the correspondence between the ports of the connection device and the network addresses of the devices connected to it, control the switching of network connections using a dynamic switching table that determines the allowed routes for transmitting data streams, and identify security events in the transmitted data stream temporarily block the flow of data when security events are detected; analyze the detected event to decide whether awns transmission associated with this event data stream alter dynamic table switching according to the rules further defined security policy block the flow or transfer it to the destination depending on the resolution of the dynamic table switching network communication that is implemented by the data stream.

Недостатком способа-прототипа является относительно низкая защищенность распределенной информационной системы, обусловленная тем, что управление потоками данных осуществляется только при определении (фиксации) системой защиты попыток несанкционированного доступа нарушителем и не учитывается возможность возникновения событий безопасности на сетевых узлах распределенной информационной системы.The disadvantage of the prototype method is the relatively low security of the distributed information system, due to the fact that data flow control is carried out only when the attacker determines (fixes) the protection system of unauthorized access attempts and does not take into account the possibility of security events on the network nodes of the distributed information system.

Наиболее близким по своей технической сущности к заявленному устройству является «Средство управления потоками данных защищенных распределенных информационных систем в сети шифрованной связи», патент RU №2402881, МПК H04L 9/32, опубл. 27.10.2010 г, бюл. №30. В ближайшем аналоге (прототипе) управления потоками данных защищенных распределенных информационных систем в сети шифрованной связи содержится блок коммутации, блок запоминания таблицы коммутации (в прототипе указанный блок назван таблицей коммутации), устанавливающей соответствие между портами средства и сетевыми адресами соединенных с ним устройств; в средство дополнительно включены блок детектирования событий, блок управления динамической таблицей коммутации и центр управления доступом, содержащий модуль политики безопасности и блок контроля доступа; при этом в состав блока коммутации включена динамическая таблица коммутации, определяющая разрешенные маршруты передачи данных; на основании которой осуществляется сетевая коммутация, к блоку коммутации подключен блок детектирования событий, связанный с блоком управления динамической таблицей коммутации, который, в свою очередь, подключен к центру управления доступом, содержащему блок детектирования событий и модуль политики безопасности.The closest in technical essence to the claimed device is "Means of controlling data flows of secure distributed information systems in an encrypted communication network", patent RU No. 2402881, IPC H04L 9/32, publ. 10/27/2010, bull. No. 30. The closest analogue (prototype) of data flow control of protected distributed information systems in an encrypted communication network contains a switching unit, a storage unit for the switching table (the specified unit is called a switching table in the prototype), which establishes a correspondence between the ports of the facility and the network addresses of devices connected to it; the tool further includes an event detection unit, a dynamic switching table control unit and an access control center comprising a security policy module and an access control unit; at the same time, a dynamic switching table is included in the composition of the switching unit, which determines the allowed data transmission routes; based on which network switching is performed, an event detection unit connected to a control unit of a dynamic switching table is connected to the switching unit, which, in turn, is connected to an access control center containing an event detection unit and a security policy module.

Недостатком средства-прототипа является относительно низкая защищенность распределенной информационной системы, обусловленная тем, что управление потоками данных осуществляется только при определении (фиксации) системой защиты попыток несанкционированного доступа нарушителем и не учитывается возможность возникновения событий безопасности на сетевых узлах распределенной информационной системы.The disadvantage of the prototype tool is the relatively low security of the distributed information system, due to the fact that data flow control is carried out only when the attacker determines (fixes) the protection system of unauthorized access attempts and does not take into account the possibility of security events on the network nodes of the distributed information system.

Целью заявленных технических решений является разработка способа и устройства управления потоками данных распределенной информационной системы, обеспечивающих повышение защищенности распределенных информационных систем за счет определения дополнительной информации о возникновении событий безопасности на сетевых узлах распределенной информационной системы, путем формирования на них файлов трассировки при осуществлении доступа пользователей к информационным ресурсам и сервисам информационной системы.The purpose of the claimed technical solutions is to develop a method and device for managing data flows of a distributed information system, which increase the security of distributed information systems by determining additional information about the occurrence of security events on the network nodes of a distributed information system, by creating trace files on them when users access information resources and services of the information system.

В заявленном способе поставленная цель достигается тем, что в известном способе управления потоками данных защищенных распределенных информационных систем, заключающемся в том, что в распределенной информационной системе, содержащей блок анализа и центр управления доступом, предварительно задают таблицу коммутации, определяющую соответствие между портами подключения к сети и сетевыми адресами соединенных с сетью узлов сети, а также задают параметры распределенной информационной системы, выявляют события безопасности в принимаемом потоке данных, анализируют их с целью принятия решения о допустимости передачи потока данных, связанного с этим событием, и, при допустимости передачи потока данных, передают его по назначению, дополнительно задают таблицу эталонных файлов трассировки распределенной информационной системы в тестовом режиме ее функционирования, состоящую из эталонных файлов трассировки для всех санкционированных пользователей при их доступе к информационным ресурсам и сервисам определенных сетевых узлов распределенной информационной системы. После разрешения на передачу потока данных в блоке коммутации на определенный сетевой узел на нем формируют файлы трассировки при доступе i-го пользователя к информационным ресурсам и сервисам j-го сетевого узла распределенной информационной системы, передают полученные файлы трассировки в центр управления доступом. Сравнивают полученные файлы трассировки с эталонными значениями, запоминают j-й сетевой узел распределенной информационной системы при доступе i-го пользователя в случае несовпадения файлов трассировки. После чего корректируют таблицу коммутации и, используя новые параметры сетевого взаимодействия, блокируют данный поток данных, а при совпадении продолжают их передачу.In the claimed method, the goal is achieved by the fact that in the known method of managing data streams of secure distributed information systems, namely, in a distributed information system containing an analysis unit and an access control center, a switching table is previously set, determining the correspondence between the network connection ports and network addresses of network nodes connected to the network, and also set the parameters of the distributed information system, identify security events in the received data stream, analyze them in order to decide on the admissibility of transmitting the data stream associated with this event, and, if the data stream is permissible, transmit it as intended, additionally set the table of reference trace files of the distributed information system in the test mode of its operation, consisting of reference trace files for all authorized users when they access information resources and services of certain network nodes of a distributed information system. After permission to transmit the data stream in the switching unit to a specific network node, trace files are generated on it when the i-th user accesses the information resources and services of the j-th network node of the distributed information system, the received trace files are transferred to the access control center. Compare the received trace files with the reference values, remember the j-th network node of the distributed information system when the i-th user accesses in case of mismatch of the trace files. Then they correct the switching table and, using the new parameters of network interaction, block this data stream, and if they match, continue to transmit them.

Поставленная цель в заявленном устройстве достигается тем, что в известном устройстве управления потоками данных защищенных распределенных информационных систем, содержащем блок коммутации, блок запоминания таблицы коммутации, определяющую соответствие между портами подключения к сети и сетевыми адресами соединенных с сетью узлов сети, блок детектирования событий, блок управления таблицей коммутации, первый информационный вход блока коммутации является входом потока данных устройства, а первый информационный выход блока коммутации подключен к узлам сети, второй управляющий выход блока коммутации соединен с блоком детектирования событий, выход которого соединен с управляющим входом блока управления таблицей коммутации, выход которого соединен с первым управляющим входом блока запоминания таблицы коммутации, а выход которого соединен с вторым информационным входом блока коммутации, дополнительно введены модуль управления трассировкой сети, состоящий из блока сравнения трассировки, блока запоминания файлов трассировки и блока запоминания таблицы эталонных файлов трассировки состоящую из эталонных файлов трассировки для всех санкционированных пользователей при их доступе к информационным ресурсам и сервисам определенных сетевых узлов распределенной информационной системы, модули формирования файлов трассировки, состоящие из блока формирования файлов трассировки, блока передачи файлов трассировки. В каждом модуле формирования файлов трассировки информационный выход блока формирования файлов трассировки соединен с информационным входом блока передачи файлов трассировки, информационный выход, которого соединен с информационный входом блока запоминания файлов трассировки и с информационным входом блока запоминания таблицы эталонных файлов трассировки. Первый информационный вход блока сравнения трассировки соединен с информационным выходом блока запоминания таблицы эталонных файлов трассировки, а второй информационный вход соединен с информационным выходом блока запоминания файлов трассировки. Первый и второй управляющие выходы блока сравнения трассировки соединены с управляющими входами соответственно блока коммутации и блока запоминания таблицы коммутации.The goal in the claimed device is achieved by the fact that in the known device for managing data flows of protected distributed information systems containing a switching unit, a storage unit for a switching table that determines the correspondence between the network connection ports and network addresses of network nodes connected to the network, an event detection unit, a unit control table switching, the first information input of the switching unit is the input of the data stream of the device, and the first information output of the switching unit and connected to network nodes, the second control output of the switching unit is connected to the event detection unit, the output of which is connected to the control input of the switching table control unit, the output of which is connected to the first control input of the switching table storage unit, and the output of which is connected to the second information input of the switching unit additionally, a network trace control module has been introduced, consisting of a trace comparison unit, a trace file storage unit, and a reference file table storage unit fishing trace consisting of a reference trace information for all authorized users when their access to information resources and services of specific network nodes distributed information system, the modules forming the trace file, consisting of a forming unit of trace files, trace files transmission unit. In each module for generating trace files, the information output of the trace file generation unit is connected to the information input of the trace file transfer unit, the information output of which is connected to the information input of the trace file storage unit and to the information input of the memory unit of the trace file table. The first information input of the trace comparison unit is connected to the information output of the storage unit of the table of trace standard files, and the second information input is connected to the information output of the trace file storage unit. The first and second control outputs of the trace comparison unit are connected to the control inputs of the switching unit and the memory unit of the switching table, respectively.

Благодаря новой совокупности существенных признаков в заявленных способе и устройстве достигается указанный технический результат за счет определения дополнительной информации о возникновении событий безопасности на сетевых узлах распределенной информационной системы, путем формирования на них файлов трассировки при осуществлении доступа пользователей к информационным ресурсам и сервисам информационной системы.Thanks to the new set of essential features in the claimed method and device, the indicated technical result is achieved by determining additional information about the occurrence of security events on the network nodes of the distributed information system, by generating trace files on them when users access information resources and services of the information system.

Заявленный способ поясняется чертежами, на которых показаны:The claimed method is illustrated by drawings, which show:

на фиг.1 - схема распределенной информационной системы (РИС);figure 1 - diagram of a distributed information system (RIS);

на фиг.2 - блок-схема алгоритма способа управления потоками данных распределенной информационной системыfigure 2 is a flowchart of a method for controlling data flows of a distributed information system

на фиг.3 - структурная схема устройства управления потоками данных;figure 3 is a structural diagram of a device for managing data flows;

на фиг.4 - взаимосвязь вероятности обнаружения нарушений политики безопасности Робн. от величины соотношения видов возникающих атак Z.figure 4 - the relationship of the probability of detecting violations of security policy P OBS. on the value of the ratio of the types of emerging attacks Z.

Реализация заявленного способа можно пояснить на схеме распределенных информационных систем, показанной на фиг.1.The implementation of the claimed method can be explained on the distributed information systems diagram shown in figure 1.

Распределенная информационная система 2 подключена к внешней сети 1 посредством блока анализа. В общем случае распределенная информационная система 2 представляет собой совокупность сетевых узлов 2.11-2.1N (маршрутизаторов, концентраторов, коммутаторов, ПЭВМ) [В.Г. Олифер, Н.А. Олифер. Компьютерные сети. Принципы, технологии, протоколы (3-е издание) СПб. - 2009 г., стр.57], центра управления доступом 3, блока анализа 4, узла дополнительного анализа 2.21-2.2N, объединенных физическими линиями связи. Все эти элементы имеют идентификаторы, в качестве которых в наиболее распространенном стеке протоколов TCP/IP используются сетевые адреса (IP-адреса). Внешняя сеть представлена набором маршрутизаторов, осуществляющих транспортировку информационных потоков из одной РИС в другую. Информационным потоком, или потоком данных, называют непрерывную последовательность данных объединенных набором общих признаков, выделяющих их из общего сетевого трафика [В.Г. Олифер, Н.А. Олифер. Компьютерные сети. Принципы, технологии, протоколы (3-е издание) СПб. - 2009 г., стр.65].Distributed information system 2 is connected to an external network 1 through an analysis unit. In the general case, distributed information system 2 is a set of network nodes 2.1 1 -2.1 N (routers, hubs, switches, personal computers) [V.G. Olifer, N.A. Olifer. Computer networks. Principles, technologies, protocols (3rd edition) of St. Petersburg. - 2009, p. 57], access control center 3, analysis unit 4, additional analysis unit 2.2 1 -2.2 N , combined by physical communication lines. All these elements have identifiers, for which network addresses (IP addresses) are used in the most common TCP / IP protocol stack. An external network is represented by a set of routers that transport information flows from one RIS to another. An information stream, or data stream, is called a continuous sequence of data united by a set of common features that distinguish them from the general network traffic [V.G. Olifer, N.A. Olifer. Computer networks. Principles, technologies, protocols (3rd edition) of St. Petersburg. - 2009, p. 65].

Кроме этого, центр управления доступом 3 обрабатывает событие безопасности при получении от блока анализа 4 оповещение о наличии в информационном потоке события безопасности. Под событием безопасности понимается операция или действие, совершенное пользователем или программой, приводящее к изменению потоков данных в распределенной информационной системе. Событием безопасности является идентифицированное появление определенного состояния системы, сервиса или сети, указывающего на возможное нарушение политики безопасности или на отказ защитных мер, или возникновение неизвестной ранее ситуации, которая может иметь отношение к безопасности [ГОСТ Р ИСО/МЭК 18044-2007, Информационная технология. Методы и средства обеспечения безопасности. Менеджмент инцидентов информационной безопасности, стр.2].In addition, the access control center 3 processes a security event when it receives a notification from the analysis unit 4 that there is a security event in the information flow. A security event is understood as an operation or action performed by a user or a program, leading to a change in data flows in a distributed information system. A security event is the identified occurrence of a certain state of a system, service or network, indicating a possible violation of security policy or a failure of protective measures, or the occurrence of a previously unknown situation that may be related to security [GOST R ISO / IEC 18044-2007, Information technology. Security methods and tools. Information Security Incident Management, p.2].

Далее блок анализа 4 осуществляет изменение таблицы коммутации в соответствии с общесистемной политикой безопасности и, используя новые параметры сетевого взаимодействия, либо блокируют поступающий поток данных, либо передают их на соответствующий сетевой узел РИС. После этого на узлах дополнительного анализа 2.21-2.2N формируется файл трассировки выполнения действий по доступу пользователей к информационным ресурсам и сервисам сетевых узлов РИС, используемый для определения несанкционированных потоков данных, которые дополнительно блокируются.Next, the analysis unit 4 performs the change of the switching table in accordance with the system-wide security policy and, using the new network interaction parameters, either block the incoming data stream or transmit them to the corresponding RIS network node. After that, on the nodes of additional analysis 2.2 1 -2.2 N , a trace file is generated for performing actions on user access to the information resources and services of the RIS network nodes, which is used to determine unauthorized data flows that are additionally blocked.

При осуществлении доступа пользователей к информационным ресурсам и сервисам сетевых узлов РИС выполняются формализованный порядок действий определенный соответствующими правилами доступа пользователей и политики безопасности. Выполнение данных процессов, возможно, контролировать с использованием механизма трассировки и получении соответствующего файла (графический или текстовый документ), который используется для дополнительного анализа по соблюдению политики безопасности при доступе поступающего на сетевой узел потока данных. Под трассировкой понимается процесс выполнения программы по шагам, инструкция за инструкцией, что позволяет наблюдать не только порядок выполнения инструкций программы, но и значения переменных [У. Клоксин, К. Меллиш. Программирование на языке. Пролог. М.: Мир - 1987 г., стр.284].When users have access to information resources and services of RIS network nodes, a formalized procedure is carried out defined by the relevant user access rules and security policies. It is possible to control the execution of these processes using the tracing mechanism and obtaining the corresponding file (graphic or text document), which is used for additional analysis on compliance with the security policy when accessing the data stream coming to the network node. Tracing refers to the process of executing a program step by step, instruction by instruction, which allows observing not only the order of execution of program instructions, but also the values of variables [U. Cloxin, C. Mellish. Programming in the language. Prologue. M .: World - 1987, p. 284].

На фиг.2 представлена блок-схема последовательности действий, реализующих алгоритм способа управления потоками данных РИС.Figure 2 presents a block diagram of a sequence of actions that implement the algorithm of the method of controlling data flows FIG.

Первоначально формируют таблицу коммутации M и таблицу эталонных файлов трассировки T согласно общесистемной политики безопасности (блок 1, Фиг.2). В таблице коммутации локальному или глобальному признаку (признакам) потока (например, адресу назначения) ставят в соответствие номер порта, на который узел сети должен передавать данные, относящиеся к этому потоку [В.Г. Олифер, Н.А. Олифер. Компьютерные сети. Принципы, технологии, протоколы (3-е издание) СПб. - 2009 г., стр.69].Initially, a switching table M and a table of reference trace files T are formed according to the system-wide security policy (block 1, FIG. 2). In the switching table, the local or global sign (s) of the stream (for example, destination address) is assigned the port number to which the network node should transmit data related to this stream [V.G. Olifer, N.A. Olifer. Computer networks. Principles, technologies, protocols (3rd edition) of St. Petersburg. - 2009, p. 69].

Для формирования таблицы эталонных файлов трассировки РИС функционирует в тестовом режиме. При этом осуществляется доступ санкционированных пользователей к информационным ресурсам и сервисам определенных сетевых узлов, на которых формируются файлы трассировки, являющиеся эталонными (блок 2, Фиг.2). После того как будут сформированы таблица коммутации M и таблица эталонных файлов трассировки ТЭ, осуществляется прием IP-пакетов потока данных P (блок 1, 3, 4, Фиг.2).To create a table of reference trace files, RIS operates in test mode. At the same time, authorized users have access to information resources and services of certain network nodes on which trace files are generated, which are standard (block 2, Figure 2). After the switching table M and the table of reference trace files T E are generated, IP packets of the data stream P are received (block 1, 3, 4, FIG. 2).

Затем, осуществляют проверку принятого потока данных P в блоке анализа на разрешение запрашиваемого взаимодействия с узлом сети РИС согласно таблицы коммутации (блоки 4-5, Фиг.2). Если таблицей коммутации запрещена передача потока данных P на запрашиваемый узел сети, то блок анализа 4 блокирует поток данных P (блок 11, Фиг.2). Если передача потока данных Р разрешена таблицей коммутации, то его передают по назначению согласно таблицы коммутации на запрашиваемый узел сети РИС (блок 6, Фиг.2).Then, they verify the received data stream P in the analysis unit to resolve the requested interaction with the RIS network node according to the switching table (blocks 4-5, FIG. 2). If the switching table prohibits the transmission of the data stream P to the requested network node, then the analysis unit 4 blocks the data stream P (block 11, FIG. 2). If the transmission of the data stream P is allowed by the switching table, then it is transmitted according to the purpose according to the switching table to the requested RIS network node (block 6, FIG. 2).

Далее на узле сети РИС в узле дополнительного анализа осуществляют формирование текущих файлов трассировки на основе выполнения программ при доступе пользователей к информационным ресурсам и сервисам РИС и передача их на блок анализа (блок 7-8, Фиг.2). На основе имеющихся эталонных файлов трассировки принимается решение о необходимости внесения изменений в таблицу коммутации M (блок 9-10, Фиг.2). Кроме того при несовпадении эталонных и текущих файлов трассировки осуществляется блокирование потока данных (блок 11, Фиг.2) как несанкционированного и являющимся событием нарушающим политику безопасности. В случае их совпадения поток данных считается санкционированным и его передача на сетевой узел РИС продолжается (блок 12, Фиг.2).Next, on the RIS network node in the additional analysis node, the current trace files are generated on the basis of program execution when users have access to the RIS information resources and services and transfer them to the analysis unit (block 7-8, Figure 2). Based on the available reference trace files, a decision is made about the need to make changes to the switching table M (block 9-10, Figure 2). In addition, if the reference and current trace files do not match, the data flow is blocked (block 11, Figure 2) as an unauthorized event that violates the security policy. If they coincide, the data stream is considered authorized and its transmission to the RIS network node continues (block 12, FIG. 2).

Описанный выше способ управления потоками данных распределенной информационной системы реализуется с помощью устройства управления потоками данных распределенной информационной системы.The method for managing data flows of a distributed information system described above is implemented using a data flow control device of a distributed information system.

Устройство, структурная схема которого показана на фиг.3, состоит из взаимосвязанных между собой блока коммутации (БК) 4, блока запоминания таблицы коммутации (БЗТК) 3, определяющей соответствие между портами подключения к сети и сетевыми адресами соединенных с сетью узлов сети, модуля управления трассировкой сети (МУТС) 1, состоящего из блока запоминания таблицы эталонных файлов трассировки (БЗТЭФТ) 1.1, состоящей из эталонных файлов трассировки для всех санкционированных пользователей при их доступе к информационным ресурсам и сервисам определенных сетевых узлов распределенной информационной системы, блока сравнения трассировки (БСТ) 1.2, блока запоминания файлов трассировки (БЗФТ) 1.3, блока детектирования событий (БДС) 5, блока управления таблицей коммутации (БУТК) 6, модули формирования файлов трассировки (МФФТ) 2, состоящих из блока формирования файлов трассировки (БФФТ) 2.2, блока передачи файлов трассировки (БПФТ) 2.1.The device, the structural diagram of which is shown in figure 3, consists of interconnected switching unit (BC) 4, the memory unit of the switching table (BZTK) 3, which determines the correspondence between the ports of the network connection and the network addresses of network nodes connected to the network, the control module network trace (MUTS) 1, consisting of a unit for storing the table of trace reference files (BZTEFT) 1.1, consisting of reference trace files for all authorized users when they access information resources and services shared network nodes of a distributed information system, a trace comparison unit (BST) 1.2, a trace file storage unit (BFT) 1.3, an event detection unit (BDS) 5, a switching table control unit (BTC) 6, trace file generation modules (MFTF) 2, consisting of a block for generating trace files (BFTT) 2.2, a block for transferring trace files (BFTT) 2.1.

Первый информационный вход БК 4 является входом потока данных устройства, а первый информационный выход БК 4 подключен к узлам сети, второй управляющий выход БК 4 соединен с БДС 5, выход которого соединен с управляющим входом БУТК 6, выход которого соединен с первым управляющим входом БЗТК 3, а выход которого соединен с вторым информационным входом БК 4. Информационный выход БФФТ 2.2 соединен с информационным входом БПФТ 2.1, информационный выход, которого соединен с информационный входом БЗФТ 1.3 и с информационным входом БЗТЭФТ 1.1. Первый информационный вход БСТ 1.2 соединен с информационным выходом БЗТЭФТ 1.1, а второй информационный вход соединен с информационным выходом БЗФТ 1.3. Первый и второй управляющие выходы БСТ 1.2 соединены с управляющими входами соответственно БК 4 и БЗТК 3.The first information input of BK 4 is the input of the data stream of the device, and the first information output of BK 4 is connected to network nodes, the second control output of BK 4 is connected to BDS 5, the output of which is connected to the control input of BUTK 6, the output of which is connected to the first control input of BZTK 3 , and the output of which is connected to the second information input of BC 4. The information output of BFTFT 2.2 is connected to the information input of BPFT 2.1, the information output of which is connected to the information input of BZFT 1.3 and with the information input of BZTEFT 1.1. The first information input of BST 1.2 is connected to the information output of BZTEFT 1.1, and the second information input is connected to the information output of BZFT 1.3. The first and second control outputs of BST 1.2 are connected to the control inputs of BK 4 and BZTK 3, respectively.

МУТС 1 предназначен для формирования эталонных файлов трассировки для всех санкционированных пользователей при их доступе к информационным ресурсам и сервисам определенных сетевых узлов распределенной информационной системы и фиксации несанкционированных действий за счет сравнения соответствующих файлов трассировки. МУТС 1 состоит из БЗТЭФТ 1.1, БСТ 1.2 и БЗФТ 1.3.MUTS 1 is designed to generate reference trace files for all authorized users when they access information resources and services of certain network nodes of a distributed information system and record unauthorized actions by comparing the corresponding trace files. MUTS 1 consists of BZTEFT 1.1, BST 1.2 and BZFT 1.3.

БЗТЭФТ 1.1 предназначен для записи данных эталонных файлов трассировки для всех санкционированных пользователей при их доступе к информационным ресурсам и сервисам определенных сетевых узлов РИС при ее функционировании в тестовом режиме. БЗТЭФТ 1.1 может быть реализован с помощью постоянных запоминающих устройств, описанных в литературе [Вениаминов В.Н., Лебедев О.Н. и др. Микросхемы и их применение. Справочное пособие, 3-е изд. М., «Радио и связь», 1989 г. - 152, 159 с.].BZTEFT 1.1 is intended for recording data of reference trace files for all authorized users with their access to information resources and services of certain RIS network nodes during its operation in test mode. BZTEFT 1.1 can be implemented using read-only memory devices described in the literature [Veniaminov VN, Lebedev ON and other microcircuits and their application. Handbook, 3rd ed. M., "Radio and Communications", 1989 - 152, 159 pp.].

БСТ 1.2 предназначен для сравнения текущих файлов трассировки сформированных при функционировании РИС с имеющимися эталонными значениями. БСТ 2.2 может быть реализован на устройствах сравнения, известных и широко освещенных в литературе [Вениаминов В.Н., Лебедев О.Н. и др. Микросхемы и их применение. Справочное пособие, 3-е изд. М., «Радио и связь», 1989 г. - 235 с.].BST 1.2 is designed to compare the current trace files generated during the operation of the RIS with the existing reference values. BST 2.2 can be implemented on comparison devices known and widely covered in the literature [Veniaminov VN, Lebedev ON and other microcircuits and their application. Handbook, 3rd ed. M., "Radio and Communications", 1989 - 235 p.].

БЗФТ 1.3 предназначен для записи данных текущих файлов трассировки при доступе к информационным ресурсам и сервисам сетевых узлов РИС в процессе ее функционирования. БЗФТ 2.3 может быть реализован с помощью постоянных запоминающих устройств, описанных в литературе [Вениаминов В.Н., Лебедев О.Н. и др. Микросхемы и их применение. Справочное пособие, 3-е изд. М., «Радио и связь», 1989 г. - 152, 159 с.].BZFT 1.3 is intended for recording data of current trace files when accessing information resources and services of RIS network nodes during its operation. BZFT 2.3 can be implemented using read-only memory devices described in the literature [Veniaminov V.N., Lebedev O.N. and other microcircuits and their application. Handbook, 3rd ed. M., "Radio and Communications", 1989 - 152, 159 pp.].

МФФТ 2 предназначен для формирования файлов трассировки при поступлении информационных потоков. МФФТ 2 состоит из БПФТ 2.1 и БФФТ 2.2.MFTF 2 is intended for generating trace files when information flows. IFFT 2 consists of FFT 2.1 and FFT 2.2.

БФФТ 2.2 предназначен для формирования файлов трассировки, содержащие информацию о ходе работы используемого приложения (программы) во время его исполнения на определенном сетевом узле. БФФТ 2.2 может быть реализован в виде микропроцессоров (устройств управления памятью), известных и широко освещенных в литературе [Вениаминов В.Н. и др. Микросхемы и их применение. Справочное пособие, 3-е изд. М., «Радио и связь», 1989 г. - 161-165 с.].BFTFT 2.2 is designed to generate trace files containing information on the progress of the application (program) used during its execution on a specific network node. BFTFT 2.2 can be implemented in the form of microprocessors (memory management devices), known and widely covered in the literature [Veniaminov V.N. and other microcircuits and their application. Handbook, 3rd ed. M., "Radio and Communications", 1989 - 161-165 p.].

БПФТ 2.1 предназначен для передачи данных сформированного файла трассировки при доступе к информационным ресурсам и сервисам определенного сетевого узла распределенной информационной системы. БПФТ 2.1 может быть реализован в виде цифроаналогового преобразователя, описанного в литературе [Вениаминов В.Н., Лебедев О.Н. и др. Микросхемы и их применение. Справочное пособие, 3-е изд. М., «Радио и связь», 1989 г. - 167 с].BPFT 2.1 is intended for transmitting data of the generated trace file when accessing information resources and services of a specific network node of a distributed information system. BPFT 2.1 can be implemented as a digital-to-analog converter described in the literature [Veniaminov V.N., Lebedev O.N. and other microcircuits and their application. Handbook, 3rd ed. M., "Radio and Communications", 1989 - 167].

БЗТК 3 предназначен для записи данных соответствия между портами подключения к сети и сетевыми адресами соединенных с сетью узлов сети. БЗТК 3 может быть реализован с помощью постоянных запоминающих устройств, описанных в литературе [Вениаминов В.Н., Лебедев О.Н. и др. Микросхемы и их применение. Справочное пособие, 3-е изд. М., «Радио и связь», 1989 г. - 152, 159 с.].BZTK 3 is intended for recording correspondence data between network connection ports and network addresses of network nodes connected to the network. BZTK 3 can be implemented using read-only memory devices described in the literature [Veniaminov V.N., Lebedev O.N. and other microcircuits and their application. Handbook, 3rd ed. M., "Radio and Communications", 1989 - 152, 159 pp.].

БК 4 предназначен для управления информационными потоками в соответствии с таблицей коммутации, определяющей соответствие между портами подключения к сети и сетевыми адресами соединенных с сетью узлов сети, и несоответствии текущих файлов трассировки сформированных при функционировании РИС. БК 4 может быть реализован как блок селекции, описанный в патенте RU №2313128, МПК G06F 17/30, опубл. 20.12.2007 г., бюл. №35.BC 4 is designed to control information flows in accordance with the switching table, which determines the correspondence between the network connection ports and the network addresses of network nodes connected to the network, and the inconsistency of the current trace files generated during the operation of the FIG. BK 4 can be implemented as a selection block described in patent RU No. 2313128, IPC G06F 17/30, publ. December 20, 2007, bull. Number 35.

БДС 5 предназначен для фиксации события безопасности. БДС 5 может быть реализован в виде устройств индикации, известных и широко освещенных в литературе (Вениаминов В.Н. и др. Микросхемы и их применение. Справочное пособие, 3-е изд. М., «Радио и связь», 1989 г. - 235 с).BDS 5 is designed to record a security event. BDS 5 can be implemented in the form of indicating devices, well-known and widely covered in the literature (Veniaminov V.N. et al. Microcircuits and their application. Reference manual, 3rd ed. M., Radio and Communication, 1989 - 235 s).

БУТК 6 предназначен для изменения данных, записанных в БЗТК 3 путем запрета использования сетевых адресов и соответствующих им номеров портов, которые были определены при фиксации события безопасности, а также по данным сравнения файлов трассировки при функционировании РИС. БУТК 6 может быть реализован в виде микропроцессоров (устройств управления памятью), известных и широко освещенных в литературе (Вениаминов В.Н. и др. Микросхемы и их применение. Справочное пособие, 3-е изд. М., «Радио и связь», 1989 г. - 161-165 с).BUTK 6 is designed to change the data recorded in the BZTK 3 by prohibiting the use of network addresses and the corresponding port numbers that were determined when the security event was recorded, as well as by comparing the trace files during the operation of the FIG. BUTC 6 can be implemented in the form of microprocessors (memory management devices), well-known and widely covered in the literature (Veniaminov VN and others. Microcircuits and their application. Reference manual, 3rd ed. M., “Radio and communication” , 1989 - 161-165 s).

Заявленное устройство работает следующим образом, на первый вход БК 4 поступает поток данных, который посредством соответствующего управляющего воздействия передает на его первый выход, который соединен с узлами сети. Второй выход БК 4 соединен с БДС 5, выход которого соединен с БУТК 6, с выхода которого выдаются команды на вход БЗТК 3 на ее изменение, а на второй и третий входы с БЗТК 3 и БСТ 1.2 соответственно поступают данные, определяющие соответствие между портами подключения к сети и сетевыми адресами соединенных с сетью узлов сети, а также определяющие несоответствие текущих файлов трассировки сформированных при функционировании РИС. Первоначально при работе РИС в тестовом режиме в БФФТ 2.2 формируются эталонные файлы трассировки, содержащие информацию о ходе работы используемого приложения (программы) во время его исполнения на определенном сетевом узле, которые поступают на вход БПФТ 2.1, а с его выхода на вход БЗТЭФТ 1.1, где запоминаются. При доступе к информационным ресурсам и сервисам определенного сетевого узла РИС в процессе ее функционирования в БФФТ 2.2 формируются текущий файл трассировки, которые поступают на вход БПФТ 2.1, ас его выхода на вход БЗФТ 1.3, для последующего сравнения в БСТ 1.2. После сравнения на БСТ 1.2 имеющихся эталонных значений с текущими файлами трассировки сформированных при функционировании РИС осуществляется выдача управляющих воздействий на первый, второй выходы, которые соединены с БК 4 и с БЗТК 3 соответственно. По управляющему воздействию, поступающему на вход БК 4, при несовпадении текущих и эталонных значений файлов трассировки, блокируется данный поток данных, а при совпадении продолжается его передача, а так же в БЗТК 3 осуществляется изменения таблицы коммутации по управлению информационными потоками.The claimed device operates as follows, the first input of the BC 4 receives a data stream, which, through the appropriate control action, transfers to its first output, which is connected to the network nodes. The second output of BK 4 is connected to BDS 5, the output of which is connected to BUTK 6, from the output of which commands are issued to the input of BZTK 3 to change it, and the second and third inputs from BZTK 3 and BST 1.2 respectively receive data that determines the correspondence between the connection ports to the network and network addresses of network nodes connected to the network, as well as determining the inconsistency of the current trace files generated during the operation of the FIG. Initially, when RIS is operating in test mode in BFTFT 2.2, reference trace files are generated containing information on the operation of the application (program) used during its execution on a specific network node, which are received at the input of the BFTFT 2.1, and from its output to the input of BZTEFT 1.1, where are remembered. When accessing the information resources and services of a certain RIS network node during its operation in BFTFT 2.2, the current trace file is generated, which are fed to the input of BFTFT 2.1, as it goes to the input of BFTFT 1.3, for subsequent comparison in BSTF 1.2. After comparing the existing reference values on the BST 1.2 with the current trace files generated during the operation of the RIS, control actions are issued to the first and second outputs, which are connected to BK 4 and BZTK 3, respectively. According to the control action coming to the input of BC 4, if the current and reference values of the trace files do not match, this data stream is blocked, and if it matches, its transmission continues, and also in the BZTK 3 changes the switching table for managing information flows are made.

Возможность реализации сформулированного технического результата была проверена путем машинного моделирования на распределенной информационной сети, состоящей из 30-ти ЭВМ с общеизвестным программным обеспечением (OC Microsoft Windows, приложения Microsoft Office, Internet Explorer). С помощью моделирования получена взаимосвязь вероятности обнаружения нарушений политики безопасности Pобн. (атаки) от величины соотношения видов возникающих атак Z [Руководящий документ. Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных. ФСТЭК России. 2008, стр.33-49]. При этом данное соотношение определялось по формуле

Figure 00000001
, где Zакт. - количество активных атак, Zобщ. - общее количество имитируемых атак на РИС.The feasibility of realizing the formulated technical result was tested by machine simulation on a distributed information network consisting of 30 computers with well-known software (Microsoft Windows OC, Microsoft Office applications, Internet Explorer). Using modeling, the relationship between the probability of detecting violations of security policy P obn. (attacks) on the ratio of the types of emerging attacks Z [Guidance document. The basic model of personal data security threats when they are processed in personal data information systems. FSTEC of Russia. 2008, pp. 33-49]. Moreover, this ratio was determined by the formula
Figure 00000001
where Z act. - number of active attacks, Z total - The total number of simulated attacks on the FIG.

Достижение технического результата поясняется следующим образом. Для способа-прототипа обнаружение нарушения политики безопасности P1 осуществлялось только с учетом заданных событий без контроля на сетевых узлах. Для предлагаемого способа выявление нарушения политики безопасности P2 (активных атак) производится по результатам анализа файлов трассировки при осуществлении действий по доступу пользователей к информационным ресурсам и сервисам на всех имеющихся сетевых узлах РИС. При этом разница в количестве обнаруженных нарушений политики безопасности, тем больше чем больше количество активных атак в общем имитируемом потоке совершаемых атак (фиг.4). Учитывая, что реальное соотношение количества атак Zреал. составляет 20-30% [Рынок ПО для обеспечения безопасности / С. Шляхтина // КомпьютерПресс. - 2007. - №3], то реальная разница будет определяться ΔP=P2-P1=0,2, чем и достигается сформулированный технический результат при реализации заявленного способа.The achievement of the technical result is illustrated as follows. For the prototype method, the detection of security policy violation P 1 was carried out only taking into account the specified events without monitoring on the network nodes. For the proposed method, the detection of a security policy violation P 2 (active attacks) is made based on the analysis of trace files during actions to access users to information resources and services on all available RIS network nodes. Moreover, the difference in the number of detected violations of security policies, the greater the greater the number of active attacks in the total simulated stream of attacks (figure 4). Given that the real ratio of the number of attacks Z is real. is 20-30% [Security software market / S. Shlyakhtina // ComputerPress. - 2007. - No. 3], then the real difference will be determined by ΔP = P 2 -P 1 = 0.2, which is achieved by the formulated technical result when implementing the claimed method.

Таким образом, заявленный способ и устройство за счет определения дополнительной информации о возникновении событий безопасности на сетевых узлах распределенной информационной системы, путем формирования на них файлов трассировки при осуществлении доступа пользователей к информационным ресурсам и сервисам позволяет обеспечить повышение защищенности распределенных информационных систем.Thus, the claimed method and device, by determining additional information about the occurrence of security events on the network nodes of a distributed information system, by generating trace files on them when users access information resources and services, can provide increased security for distributed information systems.

Claims (2)

1. Способ управления потоками данных распределенной информационной системы, заключающийся в том, что в распределенной информационной системе, содержащей блок анализа и центр управления доступом, предварительно задают таблицу коммутации, определяющую соответствие между портами подключения к сети и сетевыми адресами соединенных с сетью узлов сети, а также задают параметры распределенной информационной системы, выявляют события безопасности в принимаемом потоке данных, анализируют их с целью принятия решения о допустимости передачи потока данных, связанного с этим событием, и, при допустимости передачи потока данных, передают его по назначению, отличающийся тем, что дополнительно задают таблицу эталонных файлов трассировки распределенной информационной системы в тестовом режиме ее функционирования, состоящую из эталонных файлов трассировки для всех санкционированных пользователей при их доступе к информационным ресурсам и сервисам определенных сетевых узлов распределенной информационной системы, после разрешения на передачу потока данных в блоке коммутации на определенный сетевой узел на нем формируют текущие файлы трассировки при доступе i-го пользователя к информационным ресурсам и сервисам j-го сетевого узла распределенной информационной системы, передают полученные файлы трассировки в центр управления доступом, запоминают переданный файлы трассировки j-го сетевого узла распределенной информационной системы при доступе i-го пользователя, сравнивают полученные файлы трассировки с эталонными значениями, корректируют таблицу коммутации в случае несовпадения файлов трассировки, после чего, используя новые параметры сетевого взаимодействия, блокируют данный поток данных, а при совпадении продолжают его передачу.1. A method of managing data flows of a distributed information system, which consists in the fact that in a distributed information system containing an analysis unit and an access control center, a switching table is preliminarily defined that determines the correspondence between the network connection ports and the network addresses of network nodes connected to the network, and they also set the parameters of the distributed information system, identify security events in the received data stream, analyze them in order to decide on the admissibility of transmission over The data window associated with this event and, if the data stream is acceptable, transmit it as intended, characterized in that it additionally sets up a table of reference trace files of a distributed information system in a test mode of its operation, consisting of reference trace files for all authorized users with their access to information resources and services of certain network nodes of a distributed information system, after permission to transmit a data stream in the switching unit on A distributed network node on it forms the current trace files when the i-th user has access to information resources and services of the j-th network node of the distributed information system, transfer the received trace files to the access control center, remember the transferred trace files of the j-th network node of the distributed information system when the i-th user accesses, they compare the received trace files with the reference values, adjust the switching table in case of a trace file mismatch, after which, Using the new network interaction parameters, they block this data stream, and if they match, continue to transmit it. 2. Устройство управления потоками данных распределенной информационной системы, содержащее блок коммутации, блок запоминания таблицы коммутации, определяющей соответствие между портами подключения к сети и сетевыми адресами соединенных с сетью узлов сети, блок детектирования событий, блок управления таблицей коммутации, первый информационный вход блока коммутации является входом потока данных устройства, а первый информационный выход блока коммутации подключен к узлам сети, второй управляющий выход блока коммутации соединен с блоком детектирования событий, выход которого соединен с управляющим входом блока управления таблицей коммутации, выход которого соединен с первым управляющим входом блока запоминания таблицы коммутации, а выход которого соединен с вторым информационным входом блока коммутации, дополнительно введены модуль управления трассировкой сети, состоящий из блока сравнения трассировки, блока запоминания файлов трассировки и блока запоминания таблицы эталонных файлов трассировки, состоящей из эталонных файлов трассировки для всех санкционированных пользователей при их доступе к информационным ресурсам и сервисам определенных сетевых узлов распределенной информационной системы, модули формирования файлов трассировки, состоящие из блока формирования файлов трассировки, блока передачи файлов трассировки, в каждом модуле формирования файлов трассировки информационный выход блока формирования файлов трассировки соединен с информационным входом блока передачи файлов трассировки, информационный выход, которого соединен с информационный входом блока запоминания файлов трассировки и с информационным входом блока запоминания таблицы эталонных файлов трассировки, первый информационный вход блока сравнения трассировки соединен с информационным выходом блока запоминания таблицы эталонных файлов трассировки, а второй информационный вход соединен с информационным выходом блока запоминания файлов трассировки, первый и второй управляющие выходы блока сравнения трассировки соединены с управляющими входами соответственно блока коммутации и блока запоминания таблицы коммутации. 2. The data flow control device of a distributed information system, comprising a switching unit, a memory unit for a switching table that defines the correspondence between network connection ports and network addresses of network nodes connected to a network, an event detection unit, a switching table control unit, the first information input of the switching unit is the input of the device data stream, and the first information output of the switching unit is connected to network nodes, the second control output of the switching unit is connected to the block m event detection, the output of which is connected to the control input of the switching table control unit, the output of which is connected to the first control input of the switching table storage unit, and whose output is connected to the second information input of the switching unit, a network trace control module consisting of a trace comparison unit is additionally introduced , a block for storing trace files and a block for storing a table of reference trace files, consisting of reference trace files for all authorized when they access information resources and services of certain network nodes of a distributed information system, trace file generation modules, consisting of a trace file generation unit, trace file transfer unit, in each trace file generation module, the information output of the trace file generation unit is connected to the information input trace file transfer unit, information output of which is connected to the information input of trace file storage unit calibration and with the information input of the memory unit of the table of trace trace files, the first information input of the trace comparison unit is connected to the information output of the memory of the table trace file, and the second information input is connected to the information output of the trace file memory, the first and second control outputs of the trace comparison unit connected to the control inputs of the switching unit and the storage unit of the switching table, respectively.
RU2013136676/08A 2013-08-05 2013-08-05 Method and apparatus for controlling distributed information system data streams RU2547628C2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
RU2013136676/08A RU2547628C2 (en) 2013-08-05 2013-08-05 Method and apparatus for controlling distributed information system data streams

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
RU2013136676/08A RU2547628C2 (en) 2013-08-05 2013-08-05 Method and apparatus for controlling distributed information system data streams

Publications (2)

Publication Number Publication Date
RU2013136676A RU2013136676A (en) 2015-02-10
RU2547628C2 true RU2547628C2 (en) 2015-04-10

Family

ID=53281783

Family Applications (1)

Application Number Title Priority Date Filing Date
RU2013136676/08A RU2547628C2 (en) 2013-08-05 2013-08-05 Method and apparatus for controlling distributed information system data streams

Country Status (1)

Country Link
RU (1) RU2547628C2 (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2710284C1 (en) * 2019-06-17 2019-12-25 Федеральное государственное казенное военное образовательное учреждение высшего образования Академия Федеральной службы охраны Российской Федерации Method and apparatus for controlling data streams of a distributed information system using identifiers

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5881241A (en) * 1996-06-19 1999-03-09 Sun Microsystems, Inc. System for transmitting data packet after matching data packet's routing pattern with predetermined data routes stored in a route table
US7424744B1 (en) * 2002-03-05 2008-09-09 Mcafee, Inc. Signature based network intrusion detection system and method
RU2402881C2 (en) * 2008-11-10 2010-10-27 Общество с ограниченной ответственностью "НеоБИТ"(ООО "НеоБИТ") Method and facility for control of data streams of protected distributed information systems in network of coded communication

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5881241A (en) * 1996-06-19 1999-03-09 Sun Microsystems, Inc. System for transmitting data packet after matching data packet's routing pattern with predetermined data routes stored in a route table
US7424744B1 (en) * 2002-03-05 2008-09-09 Mcafee, Inc. Signature based network intrusion detection system and method
RU2402881C2 (en) * 2008-11-10 2010-10-27 Общество с ограниченной ответственностью "НеоБИТ"(ООО "НеоБИТ") Method and facility for control of data streams of protected distributed information systems in network of coded communication

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2710284C1 (en) * 2019-06-17 2019-12-25 Федеральное государственное казенное военное образовательное учреждение высшего образования Академия Федеральной службы охраны Российской Федерации Method and apparatus for controlling data streams of a distributed information system using identifiers

Also Published As

Publication number Publication date
RU2013136676A (en) 2015-02-10

Similar Documents

Publication Publication Date Title
CN112073411B (en) Network security deduction method, device, equipment and storage medium
Kene et al. A review on intrusion detection techniques for cloud computing and security challenges
Wu et al. On modeling and simulation of game theory-based defense mechanisms against DoS and DDoS attacks
US20190253444A1 (en) Dynamic security method and system based on multi-fusion linkage response
EP4236206A2 (en) Actively monitoring encrypted traffic by inspecting logs
CN111464563B (en) Protection method of industrial control network and corresponding device
EP2770688A1 (en) Method and apparatus for assessing the efficiency of rules of filtering devices protecting a network
Tseng et al. ControllerSEPA: a security-enhancing SDN controller plug-in for OpenFlow applications
CN108712369B (en) Multi-attribute constraint access control decision system and method for industrial control network
Huang et al. Towards trusted and efficient SDN topology discovery: A lightweight topology verification scheme
RU2739864C1 (en) System and method of correlating events for detecting information security incident
Ten et al. Cybersecurity for electric power control and automation systems
Flå et al. Tool-assisted threat modeling for smart grid cyber security
Few et al. A case study in the use of attack graphs for predicting the security of cyber-physical systems
RU2547628C2 (en) Method and apparatus for controlling distributed information system data streams
CN116232770A (en) Enterprise network safety protection system and method based on SDN controller
Shan et al. An approach for internal network security metric based on attack probability
CN109905408A (en) Network safety protection method, system, readable storage medium storing program for executing and terminal device
Grusho et al. Information flow control on the basis of meta data
Barika et al. Agent IDS based on misuse approach
RU2509425C1 (en) Method and apparatus for controlling distributed information system data streams
CN115296916A (en) Zero-trust safety system based on decision tree model
Oppermann et al. Secure cloud computing: risk analysis for secure cloud reference architecture in legal metrology
TWI667587B (en) Information security protection method
Guo et al. Simulation Implementation and Verification of a Security Framework for ICS Based on SPD

Legal Events

Date Code Title Description
MM4A The patent is invalid due to non-payment of fees

Effective date: 20150806