RU2636640C2 - Способ защиты элементов виртуальных частных сетей связи от ddos-атак - Google Patents

Способ защиты элементов виртуальных частных сетей связи от ddos-атак Download PDF

Info

Publication number
RU2636640C2
RU2636640C2 RU2016109071A RU2016109071A RU2636640C2 RU 2636640 C2 RU2636640 C2 RU 2636640C2 RU 2016109071 A RU2016109071 A RU 2016109071A RU 2016109071 A RU2016109071 A RU 2016109071A RU 2636640 C2 RU2636640 C2 RU 2636640C2
Authority
RU
Russia
Prior art keywords
addresses
virtual private
private network
parameters
white
Prior art date
Application number
RU2016109071A
Other languages
English (en)
Other versions
RU2016109071A (ru
Inventor
Евгений Владимирович Гречишников
Михаил Михайлович Добрышин
Сергей Петрович Горелик
Original Assignee
Федеральное государственное казенное военное образовательное учреждение высшего образования "Академия Федеральной службы охраны Российской Федерации" (Академия ФСО России)
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Федеральное государственное казенное военное образовательное учреждение высшего образования "Академия Федеральной службы охраны Российской Федерации" (Академия ФСО России) filed Critical Федеральное государственное казенное военное образовательное учреждение высшего образования "Академия Федеральной службы охраны Российской Федерации" (Академия ФСО России)
Priority to RU2016109071A priority Critical patent/RU2636640C2/ru
Publication of RU2016109071A publication Critical patent/RU2016109071A/ru
Application granted granted Critical
Publication of RU2636640C2 publication Critical patent/RU2636640C2/ru

Links

Images

Abstract

Изобретение относится к области обеспечения безопасности виртуальных сетей связи. Технический результат заключается в обеспечении защиты элементов виртуальных сетей связи от DDoS-атак. Способ, в котором создают статистические модели изменения параметров сетевого трафика абонентов виртуальной сети из белого списка IP-адресов, описывают значения параметров аномального поведения абонентов из белого списка IP-адресов, во время функционирования элемента виртуальной частной сети осуществляют мониторинг аномального поведения абонентов, при обнаружении аномального поведения проверяют метки времени, криптографическую функцию хеширования, если абонент не подтвердил свою легитимность, соединение разрывается и проводится повторное соединение, при отсутствии IP-адреса в «Белом» и «Черном» списке проводится фильтрация содержимого принятого пакета согласно заданным правилам фильтрации, при обнаружении и подтверждении признаков начала DDoS-атак моделируют ее влияние на элемент виртуальной частной сети, если значения параметров элемента виртуальной частной сети подверженного DDoS-атаке по результатам моделирования ниже требуемых, принимаемый сетевой трафик от абонентов виртуальной частной сети, не входящих в «Белый» список, перенаправляют в центры очистки. 6 ил.

Description

Изобретение относится к системам для определения сетевых атак на виртуальную частную сеть за счет анализа поведенческого взаимодействия между абонентами и сигнатурного анализа принимаемых данных.
Виртуальная частная сеть (Virtual Private Network - VPN) - территориально распределенная корпоративная логическая сеть, создаваемая на базе уже существующих сетей (локальных корпоративных сетевых структур, сетей связи общего пользования, сети Интернет, сетей связи операторов связи), имеющая сходный с основной сетью набор услуг и отличающаяся высоким уровнем защиты данных идентификации (ГОСТ-53729-2009 п. 3.2).
«Черный» список IP-адресов - это пользовательская база данных IP-адресов, сообщения с которых будут блокироваться (Электронный ресурс. Режим доступа: http://support.gfi.com/manuals/ru/me2014/Content/Administrator/Anti-Spam/Anti-Spam_Filters/IP_Blocklist.htm).
Альтернативой «Черного» списка является «Белый» список IP-адресов (Электронный ресурс. Режим доступа: http://dic.academic.ru/dic.nsf/ruwiki/701664/Черный_список).
Сетевой трафик - объем информации, передаваемой через компьютерную сеть за определенный период времени посредствам IP-пакетов (А. Винокуров Принципы организации учета IP-трафика. Электронный ресурс. Режим доступа: http://habrahabr.ru/post/136844).
Известен способ и устройство, реализующее его - "Система и способ для обнаружения сетевых атак", патент US №8302180, B1, H04L 29/06, опубликованный 05.03.2012.
Способ заключается в сборе статистических данных о входящем информационном потоке, его анализе, выделении определенных правил и при необходимости перенаправлении входящего информационного потока, связанного с сетевой атакой на прокси-сервер. При фильтрации входящего информационного потока используются «Белые» и «Черные» списки IP-адресов, профили среднестатистического трафика и аномального сетевого трафика.
Недостатками данного способа являются низкая защищенность VPN от DDoS-атак, из-за низкого быстродействия проверки принимаемых пакетов.
Наиболее близким аналогом (прототипом) по технической сущности к предлагаемому техническому решению является способ и устройство, реализующее его - "Система и способ уменьшения ложных срабатываний при определении сетевой атаки", патент РФ №2480937, С2, H04L 29/06 (2006.01), G06F 15/16 (2006.01), G06F 21/30 (2013.01), опубликованный 27.04.2013 Бюл. №12. Способ-прототип содержит этапы, на которых: перенаправляют трафик к сервису на сенсоры и центры очистки; обрабатывают на сенсорах все запросы к сервису с дальнейшим агрегированием полученной информации; обновляют правила фильтрации на коллекторах, используя полученную от сенсоров информацию; корректируют обновленные правила фильтрации с помощью управляющего модуля на основании статистики предыдущих сетевых атак; фильтруют трафик на центрах очистки, используя заданные правила фильтрации. Также используются «Белые» и «Черные» списки IP-адресов для корректировки правил фильтрации. Центры очистки подключены к магистральным каналам связи по каналам с высокой пропускной способностью. Также сенсоры могут находиться в непосредственной близости от сервиса. В одном из вариантов реализации «Белые» и «Черные» списки IP-адресов задаются на основе поведенческих критериев, которые включают анализ: количества запросов и сессий, устанавливаемых с одного IP-адреса, количества запросов без подтверждения с одного IP-адреса, количества запросов однотипных данных с одного IP-адреса, количества соединений без продолжения информационного обмена.
Однако способ-прототип имеет следующие недостатки - низкая защищенность VPN от DDoS-атак, из-за низкого быстродействия проверки принимаемых пакетов.
Задачей изобретения является создание способа "Способ защиты элементов виртуальных частных сетей связи от DDoS-атак". Техническим результатом изобретения является обеспечение защиты элементов виртуальной частной сети от DDoS-атак.
Технический результат изобретения решается тем, что в "Способе защиты элементов виртуальных частных сетей связи от DDoS-атак" выполняется следующая последовательность действий.
Измеряют параметры входящего и исходящего сетевого трафика абонентов «Белого» списка IP-адресов, измеряют и обобщают статистику параметров DDoS-атак (ГОСТ 28871-90 Аппаратура линейных трактов цифровых волоконно-оптических систем передачи. Методы измерения основных параметров. Стандартинформ, 2005. 8 с.) сохраняют измеренные значения в базе данных (гл. 5.4, стр. 133-146, гл. 7, стр. 168-233, Галицина О.Л. и др. Базы данных: Учебное пособие. Форум-Инфра-М, Москва, 2006. 352 с.).
Создают статистические и физические модели изменения параметров абонентов из «Белого» списка IP-адресов («Новый подход к защите информации - системы обнаружения компьютерных угроз», корпоративный журнал компании "Инфосистемы Джет" №4 2007 г. Электронный ресурс. Режим доступа: http://www.jetinfo.ru/sta-ti/novyj-podkhod-k-zaschite-informatsii-sistemy-obna-ruz-heniya-kompyutemykh; Варламов О.О. «О системном подходе к созданию модели компьютерных угроз и ее роли в обеспечении безопасности информации в ключевых системах информационной инфраструктуры» Известия ТРТУ / Тематический выпуск // №7 / том 62 / 2006 г. С 218).
Задают максимальные значения отклонения от статистических значений измеренных параметров и описывают значения параметров аномального поведения абонентов из «Белого» списка IP-адресов, создают статистические модели аномального поведения абонентов виртуальной частной сети. Сохраняют статистические модели в базе данных (гл. 5.4, стр. 133-146, гл. 7, стр. 168-233, Галицина О.Л. и др. Базы данных: Учебное пособие. Форум-Инфра-М, Москва, 2006. 352 с.).
Создают управляющий модуль, который использует «Белые» и «Черные» списки IP-адресов для корректировки правил фильтрации, в которой «Белые» и «Черные» списки IP-адресов задаются на основе поведенческих критериев, включающих анализ измеренных параметров DDoS-атак, фильтрацию сетевого трафика для защиты сервиса от DDoS-атак, содержащий этапы, на которых перенаправляют трафик к сервису на сенсоры и центры очистки (Руководство пользователя модуля МР712 Лоран. Версия 1.04.2014).
Задают или дополняют «Белые» списки IP-адресов абонентов этой сети (Межсетевой экран ViPNet Office Firewall. Руководство администратора. Версия 3.1 ОАО «Инфотекс», Москва, 2015, 91 с.).
Размещают сенсоры обработки сетевого трафика (Информационный бюллетень. Сенсоры системы предотвращения вторжений Cisco IPS серии 4300. Cisco 2012), определяют требуемые значения достоверности оценки параметров сетевого трафика и сетевых атак.
Устанавливают дополнительное программное обеспечение для проведения аутентификации абонентов виртуальной частной сети связи (В качестве программного обеспечения могут выступать этот протокол дистанционной аутентификации пользователей по коммутируемым линиям (RADIUS) и система контроля конроллера доступа к терминалу + (TACACS + Электронный ресурс. Режим доступа http://5fan.ru/wievjob.php?id=19293).
Создают физические модели DDoS-атак и имитируют воздействие DDoS-атак с различными параметрами на элемент VPN (Варламов О.О. «О системном подходе к созданию модели компьютерных угроз и ее роли в обеспечении безопасности информации в ключевых системах информационной инфраструктуры» Известия ТРТУ / Тематический выпуск // №7 / том 62 / 2006 г. С. 218). Обрабатывают полученные данные от сенсоров о всех запросах к элементам VPN с дальнейшим агрегированием полученной информации (Мониторинг сетевого трафика с помощью Netflow. Перевод: Сгибнев Михаил Электронный ресурс. Режим доступа: http://www.opennet.ru/base/cisco/monitor_netflow.txt.html. И. Чубин NetFlow Электронный ресурс. Режим доступа: http://www.opennet.ru/docs/RUS/netflow_bsd/). Оценивают достоверность измеренных параметров сетевого трафика, DDoS-атак и параметров защищенности элемента VPN от деструктивных воздействий DDoS-атак.
Если достоверность измеренных параметров не удовлетворяет заданным значениям, то осуществляют установку дополнительных вынесенных сенсоров сетевого трафика, повторно моделируют DDoS-атаку. Если достоверность измеренных параметров удовлетворяет заданным значениям, то рассчитывают наносимый ущерб VPN.
Оценивают значения параметров наносимого ущерба с допустимыми значениями функционирования VPN. Если значения наносимого ущерба превышают допустимые значения, дополняют и изменяют правила фильтрации сетевого трафика. Если значения наносимого ущерба не превышают допустимые значения, то развертывают VPN, расставляют и настраивают сенсоры сетевого трафика и центры очистки согласно разработанной модели.
Задают «Белые» и «Черные» списки IP-адресов и своевременно дополняются при появлении новых IP-адресов абонентов этой сети, осуществляют функционирования VPN (Справка Dr. Web. Черный и «Белый» списки Электронный ресурс. Режим доступа: http://download.geo.drweb.com/pub/drweb/windows/8.0/doc/wks/m/index.html?idh_agent_outlook_htm). «Черные» списки IP-адресов задаются на основе заданных поведенческих критериев.
Определяется окончание работы виртуальной частной сети и системы. Измеряют параметры входящего и исходящего сетевого трафика (ГОСТ 28871-90 Аппаратура линейных трактов цифровых волоконно-оптических систем передачи. Методы измерения основных параметров. Стандартинформ. 2005. 8 с.). Далее с использованием имеющихся моделей атак на основании заданных критериев оценивают признаки ведения сетевых атак.
Если признаков ведения DDoS-атак не обнаружено, обрабатывают сетевой трафик согласно последовательности для функционирования VPN в нормальных условий. При обнаружении и подтверждении признаков начала сетевой атаки моделируют влияние сетевой атаки на элемент виртуальной частной сети. Оценивают возможный ущерб, нанесенный выявленной сетевой атакой, согласно заданным критериям.
Если значения параметров элемента виртуальной частной сети, подверженного DDoS-атаке, по результатам моделирования ниже требуемых значений, то сетевой трафик фильтруют согласно последовательности для функционирования VPN в условиях DDoS-атак. Если значения параметров элемента виртуальной частной сети, подверженного сетевой атаке, по результатам моделирования удовлетворяют требуемым значениям, то обрабатывают входящий трафик согласно последовательности для функционирования VPN в нормальных условий.
Фильтруют входящий трафик согласно последовательности для функционирования VPN в нормальных условий, где сравнивается IP-адрес со списком «Белых» IP-адресов. Если принятый пакет получен от абонента из списка «Белых» IP-адресов, то выделяют дополнительные идентификаторы.
Если принятые пакеты получены не из списка «Белых» IP-адресов, то осуществляется сигнатурный анализ содержимого пакета (Сетевая защита на базе технологий фирмы Cisco System. Практический курс. Уральский федеральный университет имени первого Президента России Б.Н. Ельцина. Екатеринбург, с. 180. 2014). Проверяют актуальность выделенных дополнительных идентификаторов. Если идентификатор принятого пакета актуален, то осуществляют процесс установления соединения с абонентом или продолжают работу с абонентом если соединение уже установлено. Если идентификатор принятого пакета не актуален, то пакет уничтожается.
С использованием модели нормального поведения сетевого трафика по заданным критериям контролируют аномальное поведение соединения, наличие признаков DDoS-атак. Если признаков аномального поведения соединения и наличия признаков DDoS-атак не выявлено, продолжают контроль до разрыва соединения. Если выявлены признаки аномального поведения соединения или наличие признаков DDoS-атак, соединение с абонентом разрывается, а принятые пакеты уничтожаются.
Сравнивают IP-адрес со списком «Черных» IP-адресов. Если принятый пакет получен от абонента из списка «Черных» IP-адресов, то принятые пакеты уничтожаются. Если принятые пакеты получены не из списка «Черных» IP-адресов, то осуществляют выделение идентификаторов.
Сравнивается IP-адрес со списком «Белых» IP-адресов. Если принятый пакет получен от абонента из списка «Белых» IP-адресов, то выделяют дополнительные идентификаторы. Если принятые пакеты получены не из списка «Белых» IP-адресов, то пакет уничтожается. Проверяют актуальность выделенных дополнительных идентификаторов. Если идентификатор принятого пакета не актуален, то пакет уничтожается. Если идентификатор принятого пакета актуален, то осуществляют процесс установления соединения с абонентом или продолжают работу с абонентом если соединение уже установлено.
По заданным критериям контролируют аномальное поведение соединения (Сетевая защита на базе технологий фирмы Cisco System. Практический курс. Уральский федеральный университет имени первого Президента России Б. Н. Ельцина. Екатеринбург с. 180. 2014)., наличие признаков DDoS-атак. Если признаков аномальное поведение соединения и наличия признаков Spam и DDoS-атак не выявлено продолжают контроль до разрыва соединения.
Если выявлены признаки аномального поведения соединения или наличие признаков Spam и DDoS-атак, соединение с абонентом разрывается, а принятые пакеты уничтожаются.
На основе анализа принятого пакета (С. Пахомов. Анализаторы сетевых пакетов. Электронный ресурс. Режим доступа: http://compress.ru/Article.aspx?id=16244) выделяют параметры аномального изменения сетевого трафика, выделяют параметры атаки и IP-адреса. Сравнивают выделенные параметры аномального изменения сетевого трафика, выделяют параметры атаки и IP-адреса с имеющимися аналогичными параметрами. Если выделенные параметры отличаются от имеющихся или IP-адрес не входит в «Черный» список IP-адресов дополняют имеющиеся модели, дополняют правила фильтрации и анализа сетевого трафика, а принятый пакет удаляется.
Если выделенные параметры не отличаются от имеющихся и IP-адрес входит в «Черный» список, IP-принятый пакет удаляется в центре очистки.
Проведенный анализ уровня техники позволил установить, что аналоги, характеризующиеся совокупностями признаков, тождественным всем признакам заявленного способа, отсутствуют. Следовательно, заявленное изобретение соответствует условию патентоспособности "новизна".
Перечисленная новая совокупность существенных признаков обеспечивает расширение возможности способа прототипа, за счет повышения достоверности оценки уровня защищенности элементов виртуальной частной сети при проведении одновременно нескольких видов распределенных сетевых атак, а также повышение защищенности распределенной виртуальной частной сети связи за счет снижения вычислительной сложности проверки принимаемых пакетов, путем сокращения количества транзакций, необходимых для определения источника полученного сообщения.
Результаты поиска известных решений в данной и смежной областях техники с целью выявления признаков, совпадающих с отличительными от прототипов признаками заявленного изобретения, показали, что они не следуют явным образом из уровня техники. Из определенного заявителем уровня техники не выявлена известность влияния предусматриваемых существенными признаками заявленного изобретения на достижение указанного технического результата. Следовательно, заявленное изобретение соответствует условию патентоспособности "изобретательский уровень".
«Промышленная применимость» способа обусловлена наличием элементной базы, на основе которой могут быть выполнены устройства, реализующие данный способ с достижением указанного в изобретении назначения.
Заявленный способ поясняется чертежами, на которых показано:
фиг. 1 - обобщенная структурно-логическая последовательность защиты элементов виртуальных частных сетей связи от сетевых атак;
фиг. 2 - структурно-логическая последовательность работы VPN в нормальных условиях;
фиг. 3 - структурно-логическая последовательность работы VPN в условиях DDoS-атак;
фиг. 4 - структурно-логическая последовательность сбора статистических данных о параметрах функционирования VPN и DDoS-атак;
фиг. 5 - исходные данные, используемые для расчета эффективности заявленного способа;
фиг. 6 - результаты расчета эффективности заявленного способа.
Заявленный способ поясняется структурно-логической последовательностью (фиг. 1-4), где измеряют и обобщают статистику параметров сетевых атак.
В блоке 1 измеряют параметры входящего и исходящего сетевого трафика абонентов «Белого» списка IP-адресов, сохраняют измеренные значения в базе данных.
В блоке 2 измеряют и обобщают статистику параметров DDoS-атак.
В блоке 3.1 создают статистические и физические модели изменения параметров абонентов из «Белого» списка IP-адресов.
В блоке 3.2 задают максимальные значения отклонения от статистических значений измеренных параметров и описывают значения параметров аномального поведения абонентов из «Белого» списка IP-адресов, создают статистические модели аномального поведения абонентов виртуальной частной сети. Сохраняют статистические модели в базе данных.
В блоке 3.3 создают управляющий модуль, который использует «Белые» и «Черные» списки IP-адресов для корректировки правил фильтрации, в которой «Белые» и «Черные» списки IP-адресов задаются на основе поведенческих критериев, включающих анализ измеренных параметров DDoS-атак, фильтрацию сетевого трафика для защиты сервиса от DDoS-атак, содержащий этапы, на которых перенаправляют трафик к сервису на сенсоры и центры очистки.
В блоке 3.4 задаются или дополняют «Белые» списки IP-адресов абонентов этой сети.
В блоке 3.5 размещают сенсоры обработки сетевого трафика, определяют требуемые значения достоверности оценки параметров сетевого трафика и сетевых атак.
В блоке 3.6 устанавливают дополнительное программное обеспечение для проведения аутентификации абонентов виртуальной частной сети связи,
В блоке 3.7 создают физические модели DDoS-атак.
В блоке 3.8 имитируют воздействие DDoS-атак с различными параметрами на элемент VPN.
В блоке 3.9 обрабатывают полученные данные от сенсоров о всех запросах к элемента VPN с дальнейшим, агрегированием полученной информации.
В блоке 3.10 оценивают достоверность измеренных параметров сетевого трафика, DDoS-атак и параметров защищенности элемента VPN от деструктивных воздействий DDoS-атак.
Если достоверность измеренных параметров не удовлетворяет заданным значениям, то в блоке 3.11 осуществляют установку дополнительных вынесенных сенсоров сетевого трафика, повторно моделируют DDoS-атаку в блоке 3.8.
Если достоверность измеренных параметров удовлетворяет заданным значениям, то в блоке 3.12 рассчитывают наносимый ущерб VPN.
В блоке 3.13 оценивают значения параметров наносимого ущерба с допустимыми значениями функционирования VPN.
Если значения наносимого ущерба превышают допустимые значения, в блоке 3.3 дополняют и изменяют правила фильтрации сетевого трафика.
Если значения наносимого ущерба не превышают допустимые значения, в блоке 4 развертывают VPN, расставляют и настраивают сенсоры сетевого трафика и центры очистки согласно разработанной модели.
В блоке 5 задают «Белые» и «Черные» списки IP-адресов и своевременно дополняются при появлении новых IP-адресов абонентов этой сети, осуществляют функционирования VPN. «Черные» списки IP-адресов задаются на основе заданных поведенческих критериев.
В блоке 6 определяется окончание работы виртуальной частной сети и системы.
В блоке 7 измеряют параметры входящего и исходящего сетевого трафика.
В блоке 8 с использованием имеющихся моделей атак на основании заданных критериев оценивают признаки ведения сетевых атак.
Если признаков ведения DDoS-атак не обнаружено, в блоке 11 обрабатывают сетевой трафик согласно последовательности для функционирования VPN в нормальных условий.
При обнаружении и подтверждении признаков начала сетевой атаки в блоке 9 моделируют влияние сетевой атаки на элемент виртуальной частной сети.
В блоке 10 оценивают возможный ущерб, нанесенный выявленной сетевой атакой, согласно, заданных в блоке 3 критериев.
Если значения параметров элемента виртуальной частной сети подверженного DDoS-атаке по результатам моделирования ниже требуемых значений, то в блоке 12 сетевой трафик фильтруют согласно последовательности для функционирования VPN в условиях DDoS-атак.
Если значения параметров элемента виртуальной частной сети подверженного сетевой атаке по результатам моделирования удовлетворяют требуемым значениям, то в блоке 11 обрабатывают входящий трафик согласно последовательности для функционирования VPN в нормальных условий.
В блоке 11 фильтруют входящий трафик согласно последовательности для функционирования VPN в нормальных условиях, где:
В блоке 11.1 сравнивается IP-адрес со списком «Белых» IP-адресов.
Если принятый пакет получен от абонента из списка «Белых» IP-адресов, то в блоке 11.2 выделяют дополнительные идентификаторы.
Если принятые пакеты получены не из списка «Белых» IP-адресов, то в блоке 11.3 осуществляется сигнатурный анализ содержимого пакета.
В блоке 11.4 проверяют актуальность выделенных дополнительных идентификаторов.
Если идентификатор принятого пакета актуален, то в блоке 11.5 осуществляют процесс установления соединения с абонентом или продолжают работу с абонентом если соединение уже установлено.
Если идентификатор принятого пакета не актуален, то в блоке 13 пакет уничтожается.
В блоке 11.6 с использованием модели нормального поведения сетевого трафика по заданным критериям контролируют аномальное поведение соединения, наличие признаков Spam и DDoS-атак.
Если признаков аномальное поведение соединения и наличия признаков Spam и DDoS-атак не выявлено продолжают контроль до разрыва соединения.
Если выявлены признаки аномального поведения соединения или наличие признаков Spam и DDoS-атак, соединение с абонентом разрывается, а принятые пакеты уничтожаются в блоке 13.
В блоке 11.7 сравнивается IP-адрес со списком «Черных» IP-адресов.
Если принятый пакет получен от абонента из списка «Черных» IP-адресов, то в блоке 13 принятые пакеты уничтожаются.
Если принятые пакеты получены не из списка «Черных» IP-адресов, то в блоке 11.2 осуществляют выделение идентификаторов и последующие действия в блоках 11.3-11.6.
В блоке 12.1 сравнивается IP-адрес со списком «Белых» IP-адресов.
Если принятый пакет получен от абонента из списка «Белых» IP-адресов, то в блоке 12.2 выделяют дополнительные идентификаторы.
Если принятые пакеты получены не из списка «Белых» IP-адресов, то в блоке 13 пакет уничтожается.
В блоке 12.3 проверяют актуальность выделенных дополнительных идентификаторов.
Если идентификатор принятого пакета не актуален, то в блоке 13 пакет уничтожается.
Если идентификатор принятого пакета актуален, то в блоке 12.4 осуществляют процесс установления соединения с абонентом или продолжают работу с абонентом, если соединение уже установлено.
В блоке 12.5 по заданным критериям контролируют аномальное поведение соединения, наличие признаков Spam и DDoS-атак.
Если признаков аномальное поведение соединения и наличия признаков Spam и DDoS-атак не выявлено продолжают контроль до разрыва соединения.
Если выявлены признаки аномального поведения соединения или наличие признаков Spam и DDoS-атак, соединение с абонентом разрывается, а принятые пакеты уничтожаются в блоке 13.
В блоке 13.1 на основе анализа принятого пакета выделяют параметры аномального изменения сетевого трафика, выделяют параметры атаки и IP-адреса.
В блоке 13.2 сравнивают выделенные параметры аномального изменения сетевого трафика, выделяют параметры атаки и IP-адреса с имеющимися аналогичными параметрами.
Если выделенные параметры отличаются от имеющихся или IP-адрес не входит в «Черный» список IP-адресов в блоке 3 дополняют имеющиеся модели, в блоке 4 дополняют правила фильтрации и анализа сетевого трафика, а принятый пакет удаляется в блоке 13.3. Если выделенные параметры не отличаются от имеющихся и IP-адрес входит в «Черный» список, IP-принятый пакет удаляется в центре очистки блока 13.3.

Claims (1)

  1. Способ защиты элементов виртуальных сетей связи от DDoS-атак, заключающийся в том, что измеряют и обобщают статистику параметров DDoS-атак, создают управляющий модуль, который использует «Белые» и «Черные» списки IP-адресов для корректировки правил фильтрации, в которой «Белые» и «Черные» списки IP-адресов задаются на основе поведенческих критериев, включающих анализ измеренных параметров атак, фильтрацию сетевого трафика для защиты элементов виртуальной частной сети от DDoS-атак, содержащий этапы, на которых перенаправляют трафик к элементу виртуальной частной сети на сенсоры и центры очистки, обрабатывают на сенсорах все запросы к элементу виртуальной частной сети с дальнейшим агрегированием полученной информации, обновляют правила фильтрации на коллекторах, используя полученную от сенсоров информацию, корректируют обновленные правила фильтрации с помощью управляющего модуля на основании статистики предыдущих DDoS-атак, фильтруют трафик на центрах очистки, используя заданные правила фильтрации, при этом центры очистки подключены к магистральным каналам связи по каналам с высокой пропускной способностью, «Черные» списки IP-адресов задаются на основе заданных поведенческих критериев, отличающийся тем, что «Белые» списки IP-адресов задаются при развертывании виртуальной частной сети и своевременно дополняются при появлении новых IP-адресов, дополнительно размещают удаленные сенсоры сетевого трафика, соединенные с управляющим модулем, измеряют параметры сетевого трафика абонентов виртуальной сети из белого списка IP-адресов, сохраняют измеренные значения в базе данных, создают статистические модели изменения параметров абонентов виртуальной частной сети из белого списка IP-адресов, задают максимальные значения отклонения от статистических значений измеренных параметров и описывают значения параметров аномального поведения абонентов виртуальной частной сети из белого списка IP-адресов, устанавливают дополнительное программное обеспечение для проведения проверок меток времени, сохраняют статистические модели в базе данных, во время функционирования элемента виртуальной частной сети осуществляют мониторинг аномального поведения абонентов виртуальной частной сети из белого списка IP-адресов, при обнаружении признаков аномального поведения осуществляют проверки меток времени, криптографической функции хеширования, если в результате проверки абонент виртуальной частной сети не подтвердил свою легитимность, соединение разрывается и проводится повторное соединение, принимаемые пакеты первоначально проходят проверку IP-адресов в «Белом» списке IP-адресов, затем в «Черном» списке IP-адресов, при отсутствии IP-адреса в указанных списках проводится фильтрация содержимого принятого пакета согласно заданным правилам фильтрации, при обнаружении и подтверждении признаков начала DDoS-атак моделируют ее влияние на элемент виртуальной частной сети, если значения параметров элемента виртуальной частной сети подверженного DDoS-атаке по результатам моделирования ниже требуемых, принимаемый сетевой трафик от абонентов виртуальной частной сети, не входящих в «Белый» список IP-адресов, перенаправляют в центры очистки.
RU2016109071A 2016-03-11 2016-03-11 Способ защиты элементов виртуальных частных сетей связи от ddos-атак RU2636640C2 (ru)

Priority Applications (1)

Application Number Priority Date Filing Date Title
RU2016109071A RU2636640C2 (ru) 2016-03-11 2016-03-11 Способ защиты элементов виртуальных частных сетей связи от ddos-атак

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
RU2016109071A RU2636640C2 (ru) 2016-03-11 2016-03-11 Способ защиты элементов виртуальных частных сетей связи от ddos-атак

Publications (2)

Publication Number Publication Date
RU2016109071A RU2016109071A (ru) 2017-09-14
RU2636640C2 true RU2636640C2 (ru) 2017-11-27

Family

ID=59893552

Family Applications (1)

Application Number Title Priority Date Filing Date
RU2016109071A RU2636640C2 (ru) 2016-03-11 2016-03-11 Способ защиты элементов виртуальных частных сетей связи от ddos-атак

Country Status (1)

Country Link
RU (1) RU2636640C2 (ru)

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2673014C1 (ru) * 2018-01-31 2018-11-21 Федеральное государственное казенное военное образовательное учреждение высшего образования "Академия Федеральной службы охраны Российской Федерации" (Академия ФСО России) Способ моделирования и оценивания эффективности процессов управления и связи
RU2675900C1 (ru) * 2018-01-31 2018-12-25 Федеральное государственное казенное военное образовательное учреждение высшего образования "Академия Федеральной службы охраны Российской Федерации" (Академия ФСО России) Способ защиты узлов виртуальной частной сети связи от ddos-атак за счет управления количеством предоставляемых услуг связи абонентам
RU2679219C1 (ru) * 2018-02-07 2019-02-06 Федеральное государственное казенное военное образовательное учреждение высшего образования Академия Федеральной службы охраны Российской Федерации СПОСОБ ЗАЩИТЫ СЕРВЕРА УСЛУГ ОТ DDoS АТАК
RU2682108C1 (ru) * 2018-02-13 2019-03-14 Федеральное государственное казенное военное образовательное учреждение высшего образования Академия Федеральной службы охраны Российской Федерации Способ использования вариантов противодействия сетевой и потоковой компьютерным разведкам и сетевым атакам и система его реализующая
RU2718650C1 (ru) * 2019-12-26 2020-04-10 Федеральное государственное казенное военное образовательное учреждение высшего образования Академия Федеральной службы охраны Российской Федерации Способ защиты серверов услуг сети связи от компьютерных атак
RU2726900C1 (ru) * 2019-12-09 2020-07-16 федеральное государственное казенное военное образовательное учреждение высшего образования "Краснодарское высшее военное орденов Жукова и Октябрьской Революции Краснознаменное училище имени генерала армии С.М. Штеменко" Министерства обороны Российской Федерации Способ защиты вычислительных сетей
RU2768536C1 (ru) * 2021-04-21 2022-03-24 Федеральное государственное бюджетное образовательное учреждение высшего образования "Санкт-Петербургский государственный университет телекоммуникаций им. проф. М.А. Бонч-Бруевича" Способ защиты сервера услуг от DDoS атак
RU2801247C1 (ru) * 2022-07-13 2023-08-04 Акционерное общество "Государственный Рязанский приборный завод" Способ обеспечения защиты информации в корпоративной сети от несанкционированного доступа и внешних компьютерных атак и система для его реализации

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2685989C1 (ru) * 2018-01-31 2019-04-23 Федеральное государственное казенное военное образовательное учреждение высшего образования "Академия Федеральной службы охраны Российской Федерации" (Академия ФСО России) Способ снижения ущерба, наносимого сетевыми атаками серверу виртуальной частной сети
CN113328984B (zh) * 2020-08-08 2022-08-23 北京圆心科技集团股份有限公司 基于大数据和物联网通信的数据处理方法及数据处理系统
CN117254978B (zh) * 2023-11-16 2024-02-09 苏州元脑智能科技有限公司 一种异常扫描行为的处理方法及装置

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20050180416A1 (en) * 2004-02-18 2005-08-18 Thusitha Jayawardena Method for distributed denial-of-service attack mitigation by selective black-holing in MPLS VPNS
US7640589B1 (en) * 2009-06-19 2009-12-29 Kaspersky Lab, Zao Detection and minimization of false positives in anti-malware processing
US20090326899A1 (en) * 2008-06-26 2009-12-31 Q1 Labs, Inc. System and method for simulating network attacks
RU105042U1 (ru) * 2010-11-23 2011-05-27 Игорь Валерьевич Машечкин Система мониторинга работы пользователей с информационными ресурсами корпоративной компьютерной сети на основе моделирования поведения пользователей с целью поиска аномалий и изменений в работе
RU2480937C2 (ru) * 2011-04-19 2013-04-27 Закрытое акционерное общество "Лаборатория Касперского" Система и способ уменьшения ложных срабатываний при определении сетевой атаки
EP2892197A1 (en) * 2014-01-03 2015-07-08 Palantir Technologies, Inc. IP reputation
RU2571594C2 (ru) * 2010-08-25 2015-12-20 Лукаут, Инк. Система и способ защиты от вредоносного программного обеспечения, связывающаяся с сервером

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20050180416A1 (en) * 2004-02-18 2005-08-18 Thusitha Jayawardena Method for distributed denial-of-service attack mitigation by selective black-holing in MPLS VPNS
US20090326899A1 (en) * 2008-06-26 2009-12-31 Q1 Labs, Inc. System and method for simulating network attacks
US7640589B1 (en) * 2009-06-19 2009-12-29 Kaspersky Lab, Zao Detection and minimization of false positives in anti-malware processing
RU2571594C2 (ru) * 2010-08-25 2015-12-20 Лукаут, Инк. Система и способ защиты от вредоносного программного обеспечения, связывающаяся с сервером
RU105042U1 (ru) * 2010-11-23 2011-05-27 Игорь Валерьевич Машечкин Система мониторинга работы пользователей с информационными ресурсами корпоративной компьютерной сети на основе моделирования поведения пользователей с целью поиска аномалий и изменений в работе
RU2480937C2 (ru) * 2011-04-19 2013-04-27 Закрытое акционерное общество "Лаборатория Касперского" Система и способ уменьшения ложных срабатываний при определении сетевой атаки
EP2892197A1 (en) * 2014-01-03 2015-07-08 Palantir Technologies, Inc. IP reputation

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2673014C1 (ru) * 2018-01-31 2018-11-21 Федеральное государственное казенное военное образовательное учреждение высшего образования "Академия Федеральной службы охраны Российской Федерации" (Академия ФСО России) Способ моделирования и оценивания эффективности процессов управления и связи
RU2675900C1 (ru) * 2018-01-31 2018-12-25 Федеральное государственное казенное военное образовательное учреждение высшего образования "Академия Федеральной службы охраны Российской Федерации" (Академия ФСО России) Способ защиты узлов виртуальной частной сети связи от ddos-атак за счет управления количеством предоставляемых услуг связи абонентам
RU2679219C1 (ru) * 2018-02-07 2019-02-06 Федеральное государственное казенное военное образовательное учреждение высшего образования Академия Федеральной службы охраны Российской Федерации СПОСОБ ЗАЩИТЫ СЕРВЕРА УСЛУГ ОТ DDoS АТАК
RU2682108C1 (ru) * 2018-02-13 2019-03-14 Федеральное государственное казенное военное образовательное учреждение высшего образования Академия Федеральной службы охраны Российской Федерации Способ использования вариантов противодействия сетевой и потоковой компьютерным разведкам и сетевым атакам и система его реализующая
RU2726900C1 (ru) * 2019-12-09 2020-07-16 федеральное государственное казенное военное образовательное учреждение высшего образования "Краснодарское высшее военное орденов Жукова и Октябрьской Революции Краснознаменное училище имени генерала армии С.М. Штеменко" Министерства обороны Российской Федерации Способ защиты вычислительных сетей
RU2718650C1 (ru) * 2019-12-26 2020-04-10 Федеральное государственное казенное военное образовательное учреждение высшего образования Академия Федеральной службы охраны Российской Федерации Способ защиты серверов услуг сети связи от компьютерных атак
RU2768536C1 (ru) * 2021-04-21 2022-03-24 Федеральное государственное бюджетное образовательное учреждение высшего образования "Санкт-Петербургский государственный университет телекоммуникаций им. проф. М.А. Бонч-Бруевича" Способ защиты сервера услуг от DDoS атак
RU2801247C1 (ru) * 2022-07-13 2023-08-04 Акционерное общество "Государственный Рязанский приборный завод" Способ обеспечения защиты информации в корпоративной сети от несанкционированного доступа и внешних компьютерных атак и система для его реализации

Also Published As

Publication number Publication date
RU2016109071A (ru) 2017-09-14

Similar Documents

Publication Publication Date Title
RU2636640C2 (ru) Способ защиты элементов виртуальных частных сетей связи от ddos-атак
EP2715975B1 (en) Network asset information management
US7478429B2 (en) Network overload detection and mitigation system and method
US8347383B2 (en) Network monitoring apparatus, network monitoring method, and network monitoring program
CN101771702B (zh) 点对点网络中防御分布式拒绝服务攻击的方法及系统
US10257213B2 (en) Extraction criterion determination method, communication monitoring system, extraction criterion determination apparatus and extraction criterion determination program
CN106850637B (zh) 一种基于流量白名单的异常流量检测方法
Sanmorino et al. DDoS attack detection method and mitigation using pattern of the flow
EP3932033A1 (en) Methods, systems, and computer readable media for dynamically remediating a security system entity
CN108810008B (zh) 传输控制协议流量过滤方法、装置、服务器及存储介质
RU2679219C1 (ru) СПОСОБ ЗАЩИТЫ СЕРВЕРА УСЛУГ ОТ DDoS АТАК
Huang et al. An authentication scheme to defend against UDP DrDoS attacks in 5G networks
Priyadharshini et al. Prevention of DDOS attacks using new cracking algorithm
RU2675900C1 (ru) Способ защиты узлов виртуальной частной сети связи от ddos-атак за счет управления количеством предоставляемых услуг связи абонентам
Salim et al. Preventing ARP spoofing attacks through gratuitous decision packet
Thang et al. Synflood spoofed source DDoS attack defense based on packet ID anomaly detection with bloom filter
CN112565203B (zh) 一种集中管理平台
KR100983549B1 (ko) 클라이언트 ddos 방어 시스템 및 그 방법
Khirwadkar Defense against network attacks using game theory
RU2685989C1 (ru) Способ снижения ущерба, наносимого сетевыми атаками серверу виртуальной частной сети
JP2018098727A (ja) サービスシステム、通信プログラム、及び通信方法
Thing et al. Locating network domain entry and exit point/path for DDoS attack traffic
Badea et al. Computer network vulnerabilities and monitoring
Singh et al. Comparative analysis of state-of-the-art EDoS mitigation techniques in cloud computing environment
RU2625045C1 (ru) Способ моделирования оценки ущерба, наносимого сетевыми и компьютерными атаками виртуальным частным сетям

Legal Events

Date Code Title Description
MM4A The patent is invalid due to non-payment of fees

Effective date: 20180312