RU2675900C1 - Способ защиты узлов виртуальной частной сети связи от ddos-атак за счет управления количеством предоставляемых услуг связи абонентам - Google Patents
Способ защиты узлов виртуальной частной сети связи от ddos-атак за счет управления количеством предоставляемых услуг связи абонентам Download PDFInfo
- Publication number
- RU2675900C1 RU2675900C1 RU2018103842A RU2018103842A RU2675900C1 RU 2675900 C1 RU2675900 C1 RU 2675900C1 RU 2018103842 A RU2018103842 A RU 2018103842A RU 2018103842 A RU2018103842 A RU 2018103842A RU 2675900 C1 RU2675900 C1 RU 2675900C1
- Authority
- RU
- Russia
- Prior art keywords
- subscribers
- communication services
- node
- attacks
- network
- Prior art date
Links
- 238000004891 communication Methods 0.000 title claims abstract description 86
- 230000006854 communication Effects 0.000 title claims abstract description 86
- 238000000034 method Methods 0.000 title claims abstract description 33
- 230000002633 protecting effect Effects 0.000 title abstract description 3
- 238000012544 monitoring process Methods 0.000 claims abstract description 9
- 238000004422 calculation algorithm Methods 0.000 claims abstract description 3
- 230000001066 destructive effect Effects 0.000 claims description 4
- 230000008569 process Effects 0.000 claims description 4
- 238000004088 simulation Methods 0.000 claims description 4
- 230000000694 effects Effects 0.000 abstract description 3
- 238000005516 engineering process Methods 0.000 abstract description 2
- 239000000126 substance Substances 0.000 abstract 1
- 238000001914 filtration Methods 0.000 description 10
- 238000004458 analytical method Methods 0.000 description 6
- 238000004140 cleaning Methods 0.000 description 6
- 238000004364 calculation method Methods 0.000 description 4
- 238000001514 detection method Methods 0.000 description 4
- 206010000117 Abnormal behaviour Diseases 0.000 description 3
- 230000002776 aggregation Effects 0.000 description 3
- 238000004220 aggregation Methods 0.000 description 3
- 238000013459 approach Methods 0.000 description 3
- 230000003542 behavioural effect Effects 0.000 description 3
- 230000014509 gene expression Effects 0.000 description 3
- 244000309464 bull Species 0.000 description 2
- 230000002265 prevention Effects 0.000 description 2
- 230000009467 reduction Effects 0.000 description 2
- 238000013179 statistical model Methods 0.000 description 2
- 230000009897 systematic effect Effects 0.000 description 2
- 230000005540 biological transmission Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 230000000295 complement effect Effects 0.000 description 1
- 238000012790 confirmation Methods 0.000 description 1
- 239000000835 fiber Substances 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000000746 purification Methods 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
- 238000013519 translation Methods 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/28—Restricting access to network management systems or functions, e.g. using authorisation function to access network configuration
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/50—Network service management, e.g. ensuring proper service fulfilment according to agreements
- H04L41/5003—Managing SLA; Interaction between SLA and QoS
- H04L41/5009—Determining service level performance parameters or violations of service level contracts, e.g. violations of agreed response time or mean time between failures [MTBF]
- H04L41/5012—Determining service level performance parameters or violations of service level contracts, e.g. violations of agreed response time or mean time between failures [MTBF] determining service availability, e.g. which services are available at a certain point in time
- H04L41/5016—Determining service level performance parameters or violations of service level contracts, e.g. violations of agreed response time or mean time between failures [MTBF] determining service availability, e.g. which services are available at a certain point in time based on statistics of service availability, e.g. in percentage or over a given time
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/08—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
- H04L43/0805—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters by checking availability
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/50—Testing arrangements
- H04L43/55—Testing of service level quality, e.g. simulating service usage
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Physics & Mathematics (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computing Systems (AREA)
- Environmental & Geological Engineering (AREA)
- Quality & Reliability (AREA)
- Probability & Statistics with Applications (AREA)
- General Physics & Mathematics (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
Изобретение относится к области защиты виртуальной частной сети от DDoS-атак. Техническим результатом является обеспечение предоставления услуг связи абонентам узла VPN, подвергшегося DDoS-атаке, имеющих более высокую категорию важности, за счет сокращения количества предоставляемых услуг связи группе абонентов, имеющих более низшую категорию важности. В способе при выявлении факта начала DDoS-атаки на узел, прогнозируют способность узла предоставлять абонентам требуемое количество услуг связи и времени наступления отказа в обслуживании услуг связи; сравнивают способность узла предоставлять абонентам требуемое количество услуг связи с допустимым значением, если узел способен предоставлять абонентам требуемое количество услуг связи, продолжают мониторинг; сравнивают время наступления отказа в обслуживании услуг связи с требуемым значением времени предоставления услуги связи, если условие не выполняется, то по заданному алгоритму отключают абонентам услуги связи с учетом их приоритетности и важности абонентов. 4 ил.
Description
Изобретение относится к системам для определения сетевых атак на виртуальную частную сеть за счет анализа поведенческого взаимодействия между абонентами и сигнатурного анализа принимаемых данных.
Виртуальная частная сеть (Virtual Private Network - VPN) -территориально распределенная корпоративная логическая сеть, создаваемая на базе уже существующих сетей (локальных корпоративных сетевых структур, сетей связи общего пользования, сети Интернет, сетей связи операторов связи), имеющая сходный с основной сетью набор услуг и отличающаяся высоким уровнем защиты данных идентификации (ГОСТ -53729-2009 п. 3.2).
«Черный» список IP-адресов - это пользовательская база данных IP-адресов, сообщения с которых будут блокироваться (Электронный ресурс. Режим доступа: http://support.gfi.com/manuals/ru/me2014/Content/Administrator/Anti-Spam/Anti-Spam_Filters/IP_Blocklist.htm).
Альтернативой «Черного» списка является «Белый» список IP-адресов (Электронный ресурс. Режим доступа: http://dic.academic.ru/dic.nsf/ruwiki/701664/Черный_список).
Сетевой трафик - объем информации, передаваемой через компьютерную сеть за определенный период времени посредствам IP-пакетов. (А. Винокуров Принципы организации учета IP-трафика. Электронный ресурс. Режим доступа: http://habrahabr.ru/post/136844).
Известна система и способ уменьшения ложных срабатываний при определении сетевой атаки, патент РФ №2480937, С2, H04L 29/06 (2006.01), G06F 15/16 (2006.01), G06F 21/30 (2013.01) опубликованное 27.04.2013 Бюл. №12. Способ-прототип содержит этапы, на которых: перенаправляют трафик к сервису на сенсоры и центры очистки; обрабатывают на сенсорах все запросы к сервису с дальнейшим агрегированием полученной информации; обновляют правила фильтрации на коллекторах, используя полученную от сенсоров информацию; корректируют обновленные правила фильтрации с помощью управляющего модуля на основании статистики предыдущих сетевых атак; фильтруют трафик на центрах очистки, используя заданные правила фильтрации. Так же используются «Белые» и «Черные» списки IP-адресов для корректировки правил фильтрации. Центры очистки подключены к магистральным каналам связи по каналам с высокой пропускной способностью. Так же сенсоры могут, находятся в непосредственной близости от сервиса. В одном из вариантов реализации «Белые» и «Черные» списки IP-адресов задаются на основе поведенческих критериев, которые включают анализ: количества запросов и сессий, устанавливаемых с одного IP-адреса, количества запросов без подтверждения с одного IP-адреса, количества запросов однотипных данных с одного IP-адреса, количества соединений без продолжения информационного обмена.
Наиболее близким аналогом (прототипом) по технической сущности к предлагаемому техническому решению является "Способ защиты элементов виртуальных частных сетей связи от DDoS-атак" (Заявка на изобретение РФ №2016109071, G06F 21/55, G06F 21/62, H04L 12/28, G06F 11/30 опубл. 14.09.2017 г. Бюлл. №26). Сущность данного способа заключается в том, что измеряют и обобщают статистику параметров сетевых атак, создают управляющий модуль, который использует «Белые» и «Черные» списки IP-адресов для корректировки правил фильтрации, в котором «Белые» и «Черные» списки IP-адресов задаются на основе поведенческих критериев, включающих анализ измеренных параметров атак, фильтрацию сетевого трафика для защиты сервиса от сетевых атак, содержащий этапы, на которых перенаправляют трафик к сервису на сенсоры и центры очистки, обрабатывают на сенсорах все запросы к сервису с дальнейшим, агрегированием полученной информации, обновляют правила фильтрации на коллекторах, используя полученную от сенсоров информацию, корректируют обновленные правила фильтрации с помощью управляющего модуля на основании статистики предыдущих сетевых атак, фильтруют трафик на центрах очистки, используя заданные правила фильтрации, при этом центры очистки подключены к магистральным каналам связи по каналам с высокой пропускной способностью, «Черные» списки IP-адресов задаются на основе заданных поведенческих критериев, что «Белые» списки IP-адресов задаются при развертывании сети и своевременно дополняются при появлении новых IP-адресов, дополнительно размещают удаленные сенсоры сетевого трафика соединенные с управляющим модулем, измеряют параметры сетевого трафика абонентов белого списка IP-адресов, сохраняют измеренные значения в базе данных, создают статистические модели изменения параметров абонентов из белого списка IP-адресов, задают максимальные значения отклонения от статистических значений измеренных параметров и описывают значения параметров аномального поведения абонентов из белого списка IP-адресов, устанавливают дополнительное программное обеспечение для проведения проверок меток времени, сохраняют статистические модели в базе данных, во время функционирования элемента виртуальной частной сети осуществляют мониторинг аномального поведения абонентов из белого списка IP-адресов, при обнаружении признаков аномального поведения осуществляют проверки меток времени, криптографической функции хеширования, если в результате проверки абонент не подтвердил свою легитимность соединение разрывается и проводится повторное соединение, принимаемые пакеты первоначально проходят проверку IP-адресов в «Белом» списке IP-адресов, затем в «Черном» списке IP-адресов, при отсутствии IP-адреса в указанных списках проводится фильтрация содержимого принятого пакета согласно заданных правил фильтрации, при обнаружении и подтверждении признаков начала сетевой атаки моделируют ее влияние на элемент виртуальной частной сети, если значения параметров элемента виртуальной частной сети подверженного сетевой атаке по результатам моделирования ниже требуемых принимаемый сетевой трафик от абонентов не входящих в белый список IP-адреса перенаправляют в центры очистки.
Технической проблемой данной области (способов) является не способность предоставлять услуги связи абонентам имеющих более высшую категорию важности, в связи с отсутствием обоснованного управления количеством предоставляемых услуг связи абонентам более низших категорий важности.
Техническая проблема решается путем обоснованного сокращения количества предоставляемых услуг связи группе абонентов узла VPN имеющих более низшую категорию важности, с целью предоставления услуг связи абонентов имеющих более высокую категорию важности.
Техническая проблема решается тем, что в заявленном способе выполняется следующая последовательность действий: измеряют параметры входящего и исходящего сетевого трафика абонентов «белого» списка IP-адресов, измеряют и обобщают статистику параметров DDoS-атак, (ГОСТ 28871-90 Аппаратура линейных трактов цифровых волоконно-оптических систем передачи. Методы измерения основных параметров. Стандартинформ 2005. 8 с.) сохраняют измеренные значения в базе данных (гл. 5.4 стр. 133-146, гл. 7 стр. 168-233, Галицина О.Л. и др. Базы данных: Учебное пособие. Форум-Инфра-М Москва 2006. 352 с.).
Создают статистические и физические модели изменения параметров абонентов из «белого» списка IP-адресов («Новый подход к защите информации - системы обнаружения компьютерных угроз», корпоративный журнал компании "Инфосистемы Джет" №4 2007 г. Электронный ресурс. Режим доступа: http://www.jetinfo.ru/sta-ti/novyj-pod1diod-k-zaschite-informatsii-sistemy-obna-ruz-heniya-kompyuternykh; Варламов О.О. «О системном подходе к созданию модели компьютерных угроз и ее роли в обеспечении безопасности информации в ключевых системах информационной инфраструктуры» Известия ТРТУ / Тематический выпуск // №7 / том 62 / 2006 г. С 218).
Создают физические модели DDoS-атак и имитируют воздействие DDoS-атак с различными параметрами на элемент VPN (Варламов О.О. «О системном подходе к созданию модели компьютерных угроз и ее роли в обеспечении безопасности информации в ключевых системах информационной инфраструктуры» Известия ТРТУ / Тематический выпуск // №7 / том 62 / 2006 г. С 218). Обрабатывают полученные данные от сенсоров о всех запросах к элементу VPN с дальнейшим, агрегированием полученной информации (Мониторинг сетевого трафика с помощью Netflow. Перевод: Сгибнев Михаил Электронный ресурс. Режим доступа: http://www.opennet.ru/base/cisco/monitor_netflow.txt.html. И. Чубин NetFlow. Электронный ресурс. Режим доступа: http://www.opennet.ru/docs /RUS/netflow_bsd/).
Оценивают достоверность измеренных параметров сетевого трафика, DDoS-атак и параметров защищенности элемента VPN от деструктивных воздействий DDoS-атак.
Развертывают узлы сети VPN в работоспособное состояние и контролируют время функционирования узла VPN.
Проводят мониторинг признаков ведения DDoS-атак, если фактов ведения атаки не выявлено, продолжают мониторинг признаков ведения DDoS-атак (межсетевой экран ViPNet Office Firewall. Руководство администратора. Версия 3.1 ОАО «Инфотекс», Москва 2015 91 с.).
Сравнивают способность узла предоставлять абонентам требуемое количество услуг связи с допустимым значением. Если узел способен предоставлять абонентам требуемое количество услуг связи, продолжают мониторинг.
Если узел не способен предоставлять абонентам требуемое количество услуг связи, применяют вариант функционирования системы обнаружения и противодействия атакам учитывающий выделение из принятого пакета IP-адреса отправителя (Межсетевой экран ViPNet Office Firewall. Руководство администратора. Версия 3.1 ОАО «Инфотекс», Москва 2015 91 с).
Сравнивают выделенный IP-адрес со списком «Белых» IP-адресов.
Если принятые пакеты получены не из списка «Белых» IP-адресов, то пакет перенаправляется в центр очистки (Руководство пользователя модуля МР712 Лоран. Версия 1.04. 2014).
Если принятый пакет получен от абонента из списка «Белых» IP-адресов, выделяют метку времени, проверяют актуальность принятого пакета. Если пакет актуален, рассчитывают коэффициент ошибки принятых пакетов и определяют время наступления отказа в обслуживании отдельной услуги связи (Добрышин М.М., Закалкин П.В Модель узла доступа VPN как объекта сетевой и потоковой компьютерных разведок и DDoS-атак / Вопросы кибербезопасности №3 (16): ЗАО "НПО Эшелон" - Москва. -2016. - С. 4-12.). Если принятый пакет не актуален, его перенаправляют в центр оценки;
Дополнительно
Исходя из степени важности и приоритетности ранжируют абонентов и услуги связи предоставляемые им.
Разрабатывают модель системы обнаружения и противодействия сетевым компьютерным атакам учитывающую различные способы противодействия атакам, значения параметров ослабления (недопущения) деструктивного влияния атаки на узел VPN.
Дополняют процесс моделирования функционирования узла VPN в условиях DDoS-атак, за счет применения модели системы обнаружения и противодействия сетевым компьютерным атакам.
По результатам моделирования измеряют значения параметров DDoS-атак, при которых наступает отказ в обслуживании для различного количества предоставляемых услуг связи различному количеству абонентов.
Сравнивают время наступления отказа в обслуживании полученных в результате моделирования и требуемого значения времени предоставления услуг связи абонентам.
На основании имеющихся в базе данных о времени наступления отказа в обслуживании предоставляемых услуг связи, определяют количество и порядок отключения предоставляемых услуг связи отдельным абонентов (Добрышин М.М. и др. Оценка способности узла виртуальной частной сети предоставлять услуги связи в условиях противодействия и DDoS-атакам. Сборник трудов научно-практической конференции Проблемы технического обеспечения войск в современных условиях. ВАС, Санкт-Петербург. 2016 г. С. 48-51).
Устанавливают метки приоритетности на сетевые потоки формируемые оконечным оборудованием находящемся у абонентов.
При выявлении факта начала DDoS-атаки на узел, прогнозируют способность узла предоставлять абонентам требуемое количество услуг связи (Добрышин М.М. и др. Оценка способности узла виртуальной частной сети предоставлять услуги связи в условиях противодействия и DDoS-атакам. Сборник трудов научно-практической конференции Проблемы технического обеспечения войск в современных условиях. ВАС, Санкт-Петербург. 2016 г. С. 48-51).
Прогнозируют время наступления отказа в обслуживании отдельных услуг связи и группы услуг связи (Добрышин М.М. и др. Оценка способности узла виртуальной частной сети предоставлять услуги связи в условиях противодействия и DDoS-атакам. Сборник трудов научно-практической конференции Проблемы технического обеспечения войск в современных условиях. ВАС, Санкт-Петербург. 2016 г. С. 48-51)).
Сравнивают время наступления отказа в обслуживании услуг связи с требуемым значением времени предоставления услуги связи.
Если условие не выполняется, то по заданному алгоритму отключают абонентам услуги связи с учетом их приоритетности и важности абонентов.
Проведенный анализ уровня техники позволил установить, что аналоги, характеризующиеся совокупностями признаков, тождественным всем признакам заявленного способа, отсутствуют. Следовательно, заявленное изобретение соответствует условию патентоспособности "новизна".
Перечисленная новая совокупность существенных признаков обеспечивает предоставление услуг связи абонентам узла VPN подвергшегося DDoS-атаке, имеющих более высокую категорию важности, за счет обоснованного сокращения количества предоставляемых услуг связи группе абонентов имеющих более низшую категорию важности.
Результаты поиска известных решений в данной и смежной областях техники с целью выявления признаков, совпадающих с отличительными от прототипов признаками заявленного изобретения, показали, что они не следуют явным образом из уровня техники. Из определенного заявителем уровня техники не выявлена известность влияния предусматриваемых существенными признаками заявленного изобретения на достижение указанного технического результата. Следовательно, заявленное изобретение соответствует условию патентоспособности "изобретательский уровень".
«Промышленная применимость» способа обусловлена наличием элементной базы, на основе которой могут быть выполнены устройства, реализующие данный способ с достижением указанного в изобретении назначения.
Заявленный способ поясняется чертежами, на которых показано:
фиг. 1 - обобщенная структурно-логическая последовательность действий по защите узлов виртуальной частной сети связи от DDoS-атак за счет управления количеством предоставляемых услуг связи абонентам;
фиг. 2 - структурно-логическая последовательность работы блока применения варианта функционирования системы обнаружения и противодействия DDoS-атакам;
фиг. 3 - исходные данные, используемые для расчета эффективности заявленного способа;
фиг. 4 - результаты промежуточных расчетов эффективности заявленного способа.
Заявленный способ поясняется структурно-логической последовательностью (фиг. 1-2), где в блоке 1 измеряют параметры сетевого трафика узла VPN. Измеренные значения сохраняют в базу данных.
В блоке 2 исходя из степени важности и приоритетности ранжируют абонентов и услуги связи предоставляемые им.
В блоке 3 измеряют значения параметров DDoS-атак на однотипные узлы VPN, включая количество элементов (Box) входящих в атакующую сеть (Botnet), интенсивность и мощность атаки. Измеренные значения сохраняют в базу данных.
В блоке 4 разрабатывают модель узла VPN учитывающую количество абонентов и значения сетевого трафика создаваемого различными услугами связи (передача данных, телефония, видеоконференцсвязь) предоставляемые абонентам.
В блоке 5 разрабатывают модель системы обнаружения и противодействия сетевым компьютерным атакам, учитывающую различные способы противодействия атакам, значения параметров ослабления (недопущения) деструктивного влияния атаки на узел.
В блоке 6 разрабатывают модель атакующей сети (Botnet) с учетом изменяемого количества элементов (Bot), интенсивности и мощности атаки.
В блоке 7 моделируют функционирование узла VPN в условиях DDoS-атак, с учетом применения системы обнаружения и противодействия сетевым компьютерным атакам. По результатам моделирования измеряют значения параметров DDoS-атак, при которых наступает отказ в обслуживании для различного количества предоставляемых услуг связи различному количеству абонентов. Измеренные значения сохраняют в базу данных.
В блоке 8 сравнивают время наступления отказа в обслуживании полученных в результате моделирования и требуемого значения времени предоставления услуг связи абонентам.
Если условие не выполняется в блоке 9 на основании имеющихся в базе данных о времени наступления отказа в обслуживании предоставляемых услуг связи определяют количество и порядок отключения предоставляемых услуг связи отдельным абонентов, а так же условия и порядок перехода на работу только с абонентами из «Белого» списка IP-адресов. После чего повторно моделируют функционирование узла в условиях DDoS-атак, с учетом разработанных предложений.
Если условие выполняется в блоке 10 развертывают узлы сети VPN, ранжируют абонентов по степени важности, ранжируют предоставляемые услуги связи исходя из их приоритетности для абонентов. Устанавливают метки приоритетности на сетевые потоки формируемые оконечным оборудованием находящемся у абонентов. При необходимости изменяют параметры узлы сети VPN.
В блоке 11 контролируют время функционирования узла VPN.
В блоке 12 проводят мониторинг признаков ведения DDoS-атак. Если фактов ведения атаки не выявлено (блок 13), то продолжают мониторинг в блоке 12.
При выявлении факта начала DDoS-атаки на узел (блок 13), в блоке 14 прогнозируют способность узла предоставлять абонентам требуемое количество услуг связи (Qy(tксс), Q a y(tксс)), согласно следующего выражения:
где Rу - сетевой ресурс необходимый для обеспечения у-й услуги связи; 
- сетевой ресурс необходимый для обеспечения группы услуг связи, абонентам a-категории; Rсет - имеющийся сетевой ресурс; Rатак(tксс) - фактическая мощность атаки сети злоумышленника, tксс - время квазистационарного состояния узла, 
- среднее время атаки злоумышленником на узел.
В блоке 15 сравнивают время способность узла предоставлять абонентам требуемое количество услуг связи (Qy(tксс), Q a y(tксс)) с допустимым значением.
Если узел способен предоставлять абонентам требуемое количество услуг связи, продолжают в блоке 12 мониторинг.
Если узел не способен предоставлять абонентам требуемое количество услуг связи, в блоке 16 применяют вариант функционирования системы обнаружения и противодействия атакам:
В блоке 16.1 из принятого пакета выделяют IP-адрес.
В блоке 16.2 сравнивается IP-адрес со списком «Белых» IP-адресов.
Если принятые пакеты получены не из списка «Белых» IP-адресов, то в принятый блоке 16.6 пакет уничтожается.
Если принятый пакет получен от абонента из списка «Белых» IP-адресов, в блоке 16.3 выделяют метку времени.
В блоке 16.4 проверяют актуальность принятого пакета.
Если пакет актуален в блоке 16.5 рассчитывают коэффициент ошибки принятых пакетов и определяют время наступления отказа в обслуживании.
Если принятый пакет не актуален, его перенаправляют в центр оценки блока 16.6.
В блоке 17 прогнозируют время наступления отказа в обслуживании отдельных услуг связи и группы услуг связи, согласно выражений:
где Pподавл у - вероятность подавления у-й услуги связи (определяется экспериментально).
В блоке 18 сравнивают время наступления отказа в обслуживании услуг связи с требуемым значением времени предоставления услуги связи. Если условие выполняется, то в блоке 12 продолжается мониторинг.
Если условие не выполняется в блоке 19 на основании данных полученных в блоке 8 и выделенных параметров DDoS-атаки в блоке 12, отключают абонентам услуги связи с учетом их приоритетности и важности абонентов узла.
Сформулированная задача изобретения подтверждается представленным расчетом заявленного способа.
Исходные данные для расчета эффективности заявленного способа представлены на фигуре 3.
Используя выражения 1,2 проведен расчет способности узла предоставлять услуги связи в условиях DDoS-атаки. Результаты расчетов для способа прототипа и заявленного способа представлены на фигуре 4.
Из анализа промежуточных результатов расчетов (фиг 4.), видно, что мощности атаки превышавшей 2,5 Мбит/сек (для заданных начальных условий фиг 3.) наступает отказ в обслуживании для всех абонентов и не предоставляется ни одна из возможных услуг связи.
Применение заявленного способа обеспечивает за счет сокращения количества услуг связи предоставляемых абонентам более низших категорий, предоставлять отдельные услуги связи абонентам более высших категорий. Так при мощности атаки от 2,5 до 3,5 Мбит/сек - узел способен предоставлять абонентам отдельные услуги связи.
На основании анализа полученных результатов, видно, что заявленный способ способен разрешить техническую проблему и обеспечить предоставление отдельных услуг связи абонентам узла в условиях DDoS-атаки.
Claims (1)
- Способ защиты узлов виртуальной частной сети связи от DDoS-атак за счет управления количеством предоставляемых услуг связи абонентам, заключающийся в том, что измеряют параметры сетевого трафика узла VPN, измеренные значения сохраняют в базу данных; измеряют значения параметров DDoS-атак на однотипные узлы VPN, включая количество элементов, входящих в атакующую сеть, интенсивность и мощность атаки, измеренные значения сохраняют в базу данных; разрабатывают модель узла VPN, учитывающую количество абонентов и значения сетевого трафика, создаваемого различными услугами связи предоставляемые абонентам; разрабатывают модель атакующей сети с учетом изменяемого количества элементов (Bot), интенсивности и мощности атаки; моделируют функционирование узла VPN в условиях DDoS-атак; на основании имеющихся в базе данных о времени наступления отказа в обслуживании предоставляемых услуг связи определяют условия и порядок перехода на работу только с абонентами из «Белого» списка IP-адресов; развертывают узлы сети VPN, ранжируют абонентов по степени важности, ранжируют предоставляемые услуги связи исходя из их приоритетности для абонентов; контролируют время функционирования узла VPN; проводят мониторинг признаков ведения DDoS-атак, если фактов ведения атаки не выявлено, продолжают мониторинг признаков ведения DDoS-атак; если узел не способен предоставлять абонентам требуемое количество услуг связи, применяют вариант функционирования системы обнаружения и противодействия атакам, учитывающий выделение из принятого пакета IP-адреса отправителя, сравнение выделенного IP-адреса со списком «Белых» IP-адресов, если принятые пакеты получены не из списка «Белых» IP-адресов, то пакет перенаправляется в центр очистки, если принятый пакет получен от абонента из списка «Белых» IP-адресов, выделяют метку времени, проверяют актуальность принятого пакета, если пакет актуален, рассчитывают коэффициент ошибки принятых пакетов и определяют время наступления отказа в обслуживании отдельной услуги связи, если принятый пакет не актуален, его перенаправляют в центр оценки; отличающийся тем, что исходя из степени важности и приоритетности, ранжируют абонентов и услуги связи, предоставляемые им; разрабатывают модель системы обнаружения и противодействия сетевым компьютерным атакам, учитывающую различные способы противодействия атакам, значения параметров ослабления деструктивного влияния атаки на узел; уточняют процесс моделирования функционирования узла VPN в условиях DDoS-атак, за счет применения модели системы обнаружения и противодействия сетевым компьютерным атакам; по результатам моделирования измеряют значения параметров DDoS-атак, при которых наступает отказ в обслуживании для различного количества предоставляемых услуг связи различному количеству абонентов; сравнивают время наступления отказа в обслуживании полученных в результате моделирования и требуемого значения времени предоставления услуг связи абонентам; на основании имеющихся в базе данных о времени наступления отказа в обслуживании предоставляемых услуг связи определяют количество и порядок отключения предоставляемых услуг связи отдельным абонентов; устанавливают метки приоритетности на сетевые потоки, формируемые оконечным оборудованием, находящимся у абонентов; при выявлении факта начала DDoS-атаки на узел, прогнозируют способность узла предоставлять абонентам требуемое количество услуг связи и времени наступления отказа в обслуживании услуг связи; сравнивают способность узла предоставлять абонентам требуемое количество услуг связи с допустимым значением, если узел способен предоставлять абонентам требуемое количество услуг связи, продолжают мониторинг; сравнивают время наступления отказа в обслуживании услуг связи с требуемым значением времени предоставления услуги связи, если условие не выполняется, то по заданному алгоритму отключают абонентам услуги связи с учетом их приоритетности и важности абонентов.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| RU2018103842A RU2675900C1 (ru) | 2018-01-31 | 2018-01-31 | Способ защиты узлов виртуальной частной сети связи от ddos-атак за счет управления количеством предоставляемых услуг связи абонентам |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| RU2018103842A RU2675900C1 (ru) | 2018-01-31 | 2018-01-31 | Способ защиты узлов виртуальной частной сети связи от ddos-атак за счет управления количеством предоставляемых услуг связи абонентам |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| RU2675900C1 true RU2675900C1 (ru) | 2018-12-25 |
Family
ID=64753829
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| RU2018103842A RU2675900C1 (ru) | 2018-01-31 | 2018-01-31 | Способ защиты узлов виртуальной частной сети связи от ddos-атак за счет управления количеством предоставляемых услуг связи абонентам |
Country Status (1)
| Country | Link |
|---|---|
| RU (1) | RU2675900C1 (ru) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| RU2702269C1 (ru) * | 2019-06-04 | 2019-10-07 | Публичное Акционерное Общество "Сбербанк России" (Пао Сбербанк) | Система интеллектуального управления киберугрозами |
| RU2740027C1 (ru) * | 2020-02-12 | 2020-12-30 | Варити Менеджмент Сервисез Лимитед | Способ и система предотвращения вредоносных автоматизированных атак |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20050180416A1 (en) * | 2004-02-18 | 2005-08-18 | Thusitha Jayawardena | Method for distributed denial-of-service attack mitigation by selective black-holing in MPLS VPNS |
| US20090326899A1 (en) * | 2008-06-26 | 2009-12-31 | Q1 Labs, Inc. | System and method for simulating network attacks |
| RU2480937C2 (ru) * | 2011-04-19 | 2013-04-27 | Закрытое акционерное общество "Лаборатория Касперского" | Система и способ уменьшения ложных срабатываний при определении сетевой атаки |
| EP2892197A1 (en) * | 2014-01-03 | 2015-07-08 | Palantir Technologies, Inc. | IP reputation |
| RU2590917C2 (ru) * | 2010-09-01 | 2016-07-10 | Телефонактиеболагет Л М Эрикссон (Пабл) | Локализованное выявление перегрузки |
| RU2636640C2 (ru) * | 2016-03-11 | 2017-11-27 | Федеральное государственное казенное военное образовательное учреждение высшего образования "Академия Федеральной службы охраны Российской Федерации" (Академия ФСО России) | Способ защиты элементов виртуальных частных сетей связи от ddos-атак |
-
2018
- 2018-01-31 RU RU2018103842A patent/RU2675900C1/ru not_active IP Right Cessation
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20050180416A1 (en) * | 2004-02-18 | 2005-08-18 | Thusitha Jayawardena | Method for distributed denial-of-service attack mitigation by selective black-holing in MPLS VPNS |
| US20090326899A1 (en) * | 2008-06-26 | 2009-12-31 | Q1 Labs, Inc. | System and method for simulating network attacks |
| RU2590917C2 (ru) * | 2010-09-01 | 2016-07-10 | Телефонактиеболагет Л М Эрикссон (Пабл) | Локализованное выявление перегрузки |
| RU2480937C2 (ru) * | 2011-04-19 | 2013-04-27 | Закрытое акционерное общество "Лаборатория Касперского" | Система и способ уменьшения ложных срабатываний при определении сетевой атаки |
| EP2892197A1 (en) * | 2014-01-03 | 2015-07-08 | Palantir Technologies, Inc. | IP reputation |
| RU2636640C2 (ru) * | 2016-03-11 | 2017-11-27 | Федеральное государственное казенное военное образовательное учреждение высшего образования "Академия Федеральной службы охраны Российской Федерации" (Академия ФСО России) | Способ защиты элементов виртуальных частных сетей связи от ddos-атак |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| RU2702269C1 (ru) * | 2019-06-04 | 2019-10-07 | Публичное Акционерное Общество "Сбербанк России" (Пао Сбербанк) | Система интеллектуального управления киберугрозами |
| EA038063B1 (ru) * | 2019-06-04 | 2021-06-30 | Публичное Акционерное Общество "Сбербанк России" (Пао Сбербанк) | Система интеллектуального управления киберугрозами |
| RU2740027C1 (ru) * | 2020-02-12 | 2020-12-30 | Варити Менеджмент Сервисез Лимитед | Способ и система предотвращения вредоносных автоматизированных атак |
| RU2768567C1 (ru) * | 2020-02-12 | 2022-03-24 | Общество с ограниченной ответственностью «Варити+» | Способ и система предотвращения вредоносных автоматизированных атак |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| RU2636640C2 (ru) | Способ защиты элементов виртуальных частных сетей связи от ddos-атак | |
| US11438351B1 (en) | Efficient threat context-aware packet filtering for network protection | |
| US9548961B2 (en) | Detecting adverse network conditions for a third-party network site | |
| US9369434B2 (en) | Whitelist-based network switch | |
| AU2004282937B2 (en) | Policy-based network security management | |
| Manavi | Defense mechanisms against distributed denial of service attacks: A survey | |
| CN101803305A (zh) | 网络监视装置、网络监视方法及网络监视程序 | |
| Mahimkar et al. | Game-based analysis of denial-of-service prevention protocols | |
| RU2675900C1 (ru) | Способ защиты узлов виртуальной частной сети связи от ddos-атак за счет управления количеством предоставляемых услуг связи абонентам | |
| Ahmed et al. | Detection and prevention of DDoS attacks on software defined networks controllers for smart grid | |
| Nur | Combating DDoS attacks with fair rate throttling | |
| Cherian et al. | Mitigation of DDOS and MiTM attacks using belief based secure correlation approach in SDN-based IoT networks | |
| RU2718650C1 (ru) | Способ защиты серверов услуг сети связи от компьютерных атак | |
| CN116055185A (zh) | 分布式网络信息发布系统的主动网络安全防御方法和系统 | |
| Praptodiyono et al. | Development of hybrid intrusion detection system based on Suricata with pfSense method for high reduction of DDoS attacks on IPv6 networks. | |
| RU2685989C1 (ru) | Способ снижения ущерба, наносимого сетевыми атаками серверу виртуальной частной сети | |
| Khirwadkar | Defense against network attacks using game theory | |
| Okafor et al. | Vulnerability bandwidth depletion attack on distributed cloud computing network: A qos perspective | |
| Singh et al. | Performance analysis of emm an edos mitigation technique in cloud computing environment | |
| KR20090116206A (ko) | 클라이언트 ddos 방어 시스템 및 그 방법 | |
| KR100870871B1 (ko) | 액세스레벨에서의 유해트래픽 차단장치 및 보안시스템 | |
| Shah et al. | Disclosing malicious traffic for Network Security | |
| RU2625045C1 (ru) | Способ моделирования оценки ущерба, наносимого сетевыми и компьютерными атаками виртуальным частным сетям | |
| Abdelhadi et al. | Encountering distributed denial of service attack utilizing federated software defined network. | |
| RU2768536C1 (ru) | Способ защиты сервера услуг от DDoS атак |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| MM4A | The patent is invalid due to non-payment of fees |
Effective date: 20200201 |