RU2682108C1 - Method of using options of countermeasure of network and stream computer intelligence and network attacks and system therefor - Google Patents
Method of using options of countermeasure of network and stream computer intelligence and network attacks and system therefor Download PDFInfo
- Publication number
- RU2682108C1 RU2682108C1 RU2018105350A RU2018105350A RU2682108C1 RU 2682108 C1 RU2682108 C1 RU 2682108C1 RU 2018105350 A RU2018105350 A RU 2018105350A RU 2018105350 A RU2018105350 A RU 2018105350A RU 2682108 C1 RU2682108 C1 RU 2682108C1
- Authority
- RU
- Russia
- Prior art keywords
- network
- parameters
- communication network
- attacks
- ddos
- Prior art date
Links
- 238000000034 method Methods 0.000 title claims abstract description 70
- 238000004891 communication Methods 0.000 claims abstract description 237
- 238000012544 monitoring process Methods 0.000 claims abstract description 97
- 230000004913 activation Effects 0.000 claims abstract description 19
- 230000003313 weakening effect Effects 0.000 claims abstract description 6
- 238000012545 processing Methods 0.000 claims description 34
- 238000007726 management method Methods 0.000 claims description 20
- 238000011161 development Methods 0.000 claims description 13
- 238000013500 data storage Methods 0.000 claims description 12
- 230000008859 change Effects 0.000 claims description 8
- 238000012800 visualization Methods 0.000 claims description 8
- 238000001514 detection method Methods 0.000 claims description 6
- 230000015572 biosynthetic process Effects 0.000 claims description 5
- 238000005457 optimization Methods 0.000 claims description 5
- 238000003786 synthesis reaction Methods 0.000 claims description 5
- 238000012067 mathematical method Methods 0.000 claims description 4
- 238000013178 mathematical model Methods 0.000 claims description 4
- 230000007257 malfunction Effects 0.000 claims description 2
- 230000000694 effects Effects 0.000 abstract description 7
- 238000004088 simulation Methods 0.000 abstract description 3
- 239000000126 substance Substances 0.000 abstract 1
- 238000004364 calculation method Methods 0.000 description 18
- 230000014509 gene expression Effects 0.000 description 10
- 230000001066 destructive effect Effects 0.000 description 9
- 238000004458 analytical method Methods 0.000 description 6
- 230000008569 process Effects 0.000 description 6
- 238000005516 engineering process Methods 0.000 description 5
- 238000011888 autopsy Methods 0.000 description 3
- 244000309464 bull Species 0.000 description 3
- 238000011156 evaluation Methods 0.000 description 3
- 230000000873 masking effect Effects 0.000 description 3
- 238000006243 chemical reaction Methods 0.000 description 2
- 230000003993 interaction Effects 0.000 description 2
- 230000001629 suppression Effects 0.000 description 2
- FGRBYDKOBBBPOI-UHFFFAOYSA-N 10,10-dioxo-2-[4-(N-phenylanilino)phenyl]thioxanthen-9-one Chemical compound O=C1c2ccccc2S(=O)(=O)c2ccc(cc12)-c1ccc(cc1)N(c1ccccc1)c1ccccc1 FGRBYDKOBBBPOI-UHFFFAOYSA-N 0.000 description 1
- 238000003646 Spearman's rank correlation coefficient Methods 0.000 description 1
- 230000003213 activating effect Effects 0.000 description 1
- 238000013459 approach Methods 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 238000004422 calculation algorithm Methods 0.000 description 1
- JLQUFIHWVLZVTJ-UHFFFAOYSA-N carbosulfan Chemical compound CCCCN(CCCC)SN(C)C(=O)OC1=CC=CC2=C1OC(C)(C)C2 JLQUFIHWVLZVTJ-UHFFFAOYSA-N 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 230000007123 defense Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 239000000463 material Substances 0.000 description 1
- 230000008520 organization Effects 0.000 description 1
- 230000035515 penetration Effects 0.000 description 1
- 239000000047 product Substances 0.000 description 1
- 230000009467 reduction Effects 0.000 description 1
- 238000007619 statistical method Methods 0.000 description 1
- 239000013589 supplement Substances 0.000 description 1
- 238000012360 testing method Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04B—TRANSMISSION
- H04B17/00—Monitoring; Testing
- H04B17/10—Monitoring; Testing of transmitters
- H04B17/101—Monitoring; Testing of transmitters for measurement of specific parameters of the transmitter or components thereof
Landscapes
- Physics & Mathematics (AREA)
- Electromagnetism (AREA)
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
Description
Изобретение относится к системам обнаружения и противодействия информационно-техническим воздействиям, а именно противодействия технической компьютерной разведке и DDoS-атакам.The invention relates to systems for detecting and counteracting information and technical influences, namely counteracting technical computer intelligence and DDoS attacks.
Под услугой связи понимается продукт деятельности по приему, обработке, передаче и доставке почтовых отправлений или сообщений электросвязи (Федеральный закон от 16.02.95 N 15-ФЗ, ст.2).A communication service is understood as a product of the activity on the reception, processing, transmission and delivery of mail items or telecommunication messages (Federal Law of 16.02.95 N 15-ФЗ, Art.2).
Под сетевой компьютерной разведкой понимается получение и обработка данных об информационной системе клиента, ресурсов информационной системы, используемых устройств и программного обеспечения и их уязвимостях, средств защиты, а также о границе проникновения в информационную систему (Запечников С. В. Милославская Н. Г., Толстой А. И., Ушаков Д. В. Информационная безопасность открытых систем. В 2-х тт. Том 1. Угрозы, уязвимости, атаки и подходы к защите. М.: Горячая Линия — Телеком, 2006. — 536 с. ).Network computer intelligence refers to the receipt and processing of data about a client’s information system, information system resources, used devices and software and their vulnerabilities, security features, and also about the penetration into the information system (Zapechnikov S.V. Miloslavskaya N.G., Tolstoy A. I., Ushakov D. V. Information Security of Open Systems, 2 vol.
Потоковая компьютерная разведка – разведка, обеспечивающая добывание информации и данных путем перехвата, обработки и анализа сетевого трафика (систем связи) и выявления структур компьютерных сетей и их технических параметров (Варламов О. О. "Защита персональных данных и анализ десяти видов технической компьютерной разведки", Актуальные проблемы безопасности информационных технологий: сборник материалов III международной научно-практической конференции, Под общей ред. О. Н. Жданова, В. В. Золотарева. Сибирский государственный аэрокосмический университет).Stream computer intelligence - intelligence that provides information and data by intercepting, processing and analyzing network traffic (communication systems) and identifying computer network structures and their technical parameters (Varlamov O. O. "Protection of personal data and analysis of ten types of technical computer intelligence" , Actual problems of information technology security: a collection of materials of the III international scientific and practical conference, Under the general editorship of O. N. Zhdanov, V. V. Zolotarev, Siberian State Aerospace matic University).
Информационно-техническое воздействие (ИТВ) – применение способов и средств информационного воздействия на информационно-технические объекты страны, на технику и вооружение оппонента в интересах достижения поставленных целей. В данном изобретении под ИТВ понимается совокупность компьютерной разведки и сетевых атак. Information and technical impact (ITV) - the application of methods and means of information impact on the information and technical facilities of the country, on the equipment and weapons of the opponent in the interests of achieving the goals. In this invention, ITV refers to a combination of computer intelligence and network attacks.
Атака – попытка уничтожения, раскрытия, изменения, блокирования, кражи, получения несанкционированного доступа к активу или его несанкционированного использования (ГОСТ Р ИСО/МЭК 27000-2012).Attack - an attempt to destroy, disclose, modify, block, steal, gain unauthorized access to an asset or its unauthorized use (GOST R ISO / IEC 27000-2012).
Актив определен как «что-либо, что имеет ценность для организации» (ГОСТ Р ИСО/МЭК 27000-2012).An asset is defined as “anything that has value to the organization” (GOST R ISO / IEC 27000-2012).
Компьютерная разведка - это деятельность, направленная на получение информации из электронных баз данных ЭВМ, включенных в компьютерные сети открытого типа, а так же информации об особенностях их построения и функционирования. Целью компьютерной разведки является добывание сведений о предмете, конечных результатах, формах и способах деятельности субъектов, являющихся пользователями информационно-вычислительной сети, и используемом аппаратурном и программном обеспечении, протоколах управления и информационного взаимодействия и используемых средствах и методах защиты информации (https://studopedia.su/ 10_119257_kompyuternaya-razvedka.html).Computer intelligence is an activity aimed at obtaining information from electronic computer databases included in open-type computer networks, as well as information about the features of their construction and functioning. The purpose of computer intelligence is to obtain information about the subject, end results, forms and methods of activity of entities that are users of the information and computer network, and the used hardware and software, control and information interaction protocols and the means and methods of information protection used (https: // studopedia .su / 10_119257_kompyuternaya-razvedka.html).
Под DDoS-атакой понимается распределенная атака типа отказ в обслуживании, которая являет собой одну из самых распространенных и опасных сетевых атак. В результате атаки нарушается или полностью блокируется обслуживание законных пользователей, сетей, систем и иных ресурсов (http://www.securitylab.ru/news/tags/DDoS/).A DDoS attack refers to a distributed denial of service attack, which is one of the most common and dangerous network attacks. As a result of the attack, the service of legitimate users, networks, systems and other resources is violated or completely blocked (http://www.securitylab.ru/news/tags/DDoS/).
Под ущербом понимается соотношение вышедших из строя элементов сети связи к общему числу элементов сети (п. 5.19 ГОСТ
Р 53111-2008. Устойчивость функционирования сети связи общего пользования).Damage refers to the ratio of failed communication network elements to the total number of network elements (paragraph 5.19 GOST
P 53111-2008. Sustainability of the functioning of the public communication network).
Под сенсорами сетевого трафика понимаются устройства, обеспечивающие анализ сетевого взаимодействия, сигнатур атак, моделей проведения атак и ряда других функций (в качестве одного из возможных применяемых сенсоров может быть Cisco IPS серия 4300).Network traffic sensors are devices that provide analysis of network interactions, attack signatures, attack models, and a number of other functions (the Cisco IPS 4300 series may be one of the possible sensors used).
Сетевой трафик – объём информации, передаваемой через компьютерную сеть за определенный период времени посредствам IP-пакетов. (А. Винокуров Принципы организации учёта IP-трафика. Электронный ресурс. Режим доступа: http://habrahabr.ru/post/136844).Network traffic - the amount of information transmitted through a computer network over a certain period of time via IP packets. (A. Vinokurov Principles of organizing IP traffic accounting. Electronic resource. Access mode: http://habrahabr.ru/post/136844).
Известен способ диагностирования средств связи телекоммуникационных систем (патент РФ № 2345492 С2, H04B 17/00 (2006/01). Опубликован 27.01.2009 Бюл. № 3), заключающийся в том, что среди параметров сложного технического объекта выделяют отдельные параметры, которые являются признаками его технического состояния, сравнивают их с эталонными признаками исходного алфавита классов состояний и по результатам сравнения определяют группу классов возможного технического состояния диагностируемого объекта, в которой определяют признак, имеющий максимальную диагностическую ценность, для всех признаков состояний выбранной группы многократно измеряют сигналы и определяют показатель интенсивности связи - эмпирическое корреляционное отношение значения сигнала с максимальной диагностической ценностью значениям сигналов остальных признаков состояния, проводят вычисление средних значений эмпирического корреляционного отношения для каждого класса и определяют класс в выбранной группе классов состояния с максимально средним значением эмпирического корреляционного отношения, который является фактическим классом состояния, введено то, что всю совокупность как внутренних параметров, так и выходных параметров, определяющих техническое состояние средств связи телекоммуникационных систем, сокращают за счет выявления сильной корреляционной зависимости отдельно между внутренними параметрами, отдельно между выходными параметрами средств связи телекоммуникационных систем, по заданной достоверности контроля технического состояния с учетом динамики изменений выделенных контролируемых параметров осуществляют прогнозирование времени наступления предотказового состояния средств связи телекоммуникационных систем.A known method for diagnosing communication means of telecommunication systems (RF patent No. 2345492 C2,
Наиболее близким по технической сущности и выполняемым функциям аналогом (прототипом) к заявленному является способ, реализованный в изобретении "Способ мониторинга сетей связи в условиях ведения сетевой разведки и информационно технических воздействий (патент РФ № 2612275, H04B 17/00 (2015.01), опубликовано: 06.03.2017 бюл. № 7). Указанный способ заключается в том, что среди параметров сети связи (СС), сетевой разведки (СР) и информационно-технических воздействий (ИТВ) выделяют отдельные параметры, которые являются признаками технического состояния СС, ведения СР и ИТВ, сравнивают значения выделенных параметров с эталонными признаками исходного алфавита классов состояний и по результатам сравнения определяют группу классов возможного состояния в условиях ведения СР и ИТВ, сокращают количество контролируемых параметров состояния СС в условиях ведения СР и ИТВ за счет выявления сильной корреляционной зависимости между параметрами технического состояния СС, между параметрами СР и ИТВ, осуществляют контроль параметров СС, СР и ИТВ, с учетом динамики изменений выделенных контролируемых параметров осуществляют прогнозирование времени наступления критического (предотказового) состояния СС, отличающийся тем, что дополнительно измеряют параметры эксплуатационных отказов и сбоев на однотипных функционирующих сетях связи, измеряют параметры СР и ИТВ на однотипные функционирующие сети связи, сохраняют измеренные значения в блоке хранения данных, заносят измеренные значения в блок обработки данных, формируют физическую модель СС с учетом эксплуатационных отказов и сбоев, исходя из топологии создаваемой СС, определяют возможные места размещения точек мониторинга контролируемых параметров СС, СР и ИТВ, формируют физическую модель распределенной системы мониторинга (РСМ) технического состояния СС, сокращают количество точек мониторинга РСМ в условиях ведения СР и ИТВ за счет выявления сильной корреляционной зависимости между значениями параметров технического состояния СС в точках мониторинга в условиях эксплуатационных отказов и сбоев и параметрами СР и ИТВ, по заданной достоверности контроля технического состояния осуществляют контроль параметров СС, СР и ИТВ для случаев нормального функционирования СС, случаев эксплуатационных отказов и сбоев, ведения СР, ИТВ, изменяют количество точек мониторинга для нормального функционирования, формируют физические модели СР и ИТВ злоумышленника, моделируют функционирование СС и РСМ в условиях эксплуатационных отказов и сбоев, ведения СР и ИТВ, рассчитывают и оценивают достоверность измеренных параметров РСМ, изменяют количество и места расстановки точек мониторинга, рассчитывают параметры быстродействия распределенной системы мониторинга по обнаружению эксплуатационных отказов и сбоев, а так же фактов ведения СР и ИТВ, разрабатывают мероприятия по противодействию СР и ИТВ, осуществляют развертывание и функционирование сети связи, осуществляют развертывание и функционирования РСМ для нормальных условий функционирования СС, устанавливают соединения с РСМ провайдера предоставляющего услуги связи и другими независимыми системами обнаружения ИТВ, во время функционирования СС проводят мониторинг технического состояния СС, параметров СР и ИТВ, при обнаружении эксплуатационных отказов и сбоев принимают меры по реконфигурации сети связи и устранению причин сбоя, при фиксации факта ведения СР включают все точки мониторинга и увеличивают количество контролируемых параметров СР и ИТВ, на основании имеющихся статистических данных прогнозируют параметры СР и ИТВ, а так же параметры СС в условиях ведения ИТВ, при фиксации факта ведения ИТВ реконфигурируют РСМ путем сокращения контролируемых параметров и отключении некоторых точек мониторинга, на основании данных полученных от РСМ о параметрах ИТВ и прогнозируемых значений СС выполняют комплекс мероприятий по противодействию ИТВ, на основании заданных критериев фиксируют факт окончания ИТВ, по окончанию воздействия сравнивают измеренные параметры ИТВ и значения параметров полученные от независимых сторонних систем мониторинга, рассчитывают достоверность параметров измеренных РСМ, быстродействие РСМ по обнаружению эксплуатационных отказов и сбоев, обнаружения действий СР и ИТВ, на основании проведенных расчетов достоверности и быстродействия РСМ оценивают правильность расстановки точек мониторинга и контролируемых параметров, при выявлении отклонений достоверности и быстродействия РСМ от требуемых значений осуществляют изменение количества контролируемых параметров и реконфигурируют РСМ.The closest in technical essence and performed functions analogue (prototype) to the claimed one is the method implemented in the invention "Method for monitoring communication networks in the conditions of network intelligence and information and technical effects (RF patent No. 2612275,
Известна система для выработки решений (патент РФ № 2216043, G06N 1/00, 2000 г.) содержащая устройство обработки данных, включающее устройство управления обработкой данных, устройство синтеза виртуального рабочего варианта системы и устройство выбора оптимального варианта решения, соединенные между собой, устройство хранения данных, включающее в себя устройство управления базами данных, соединенное с устройством управления обработкой данных, базу данных, в которой хранится перечень типов проблем, соответствующие каждому типу проблемы математические модели, предназначенные для расчета значений параметров, описывающих проблему, и базу данных, в которой хранятся данные, соответствующие накопленным примерам решаемых проблем, устройство визуализации и устройство ввода-вывода для ввода исходных данных и вывода результатов, соединенные между собой, с устройством управления обработкой данных устройства обработки данных и с устройством управления базами данных устройства хранения данных A known system for making decisions (RF patent No. 2216043, G06N 1/00, 2000) containing a data processing device including a data processing control device, a synthesis device for a virtual working version of the system and a device for selecting the optimal solution, interconnected, a storage device data, including a database management device connected to a data processing management device, a database that stores a list of types of problems corresponding to each type of mathematical problem models for calculating the values of parameters describing the problem, and a database that stores data corresponding to the accumulated examples of problems being solved, a visualization device and an input-output device for inputting the initial data and outputting the results, interconnected with the processing control device data of the data processing device and with the database management device of the data storage device
Наиболее близкой по технической сущности и выполняемым функциям аналогом (прототипом) к заявленной является система, реализованная в изобретении "Способ выработки решений проблем развития автоматизированной системы управления (АСУ) и система его реализующая" (патент РФ № 2487409, G06N 99/00 (2010.01), опубликовано: 3 10.07.2013 Бюл. № 19). Система, содержит устройство обработки данных, включающее устройство управления обработкой данных, устройство синтеза виртуального рабочего варианта системы и устройство выбора оптимального варианта решения, соединенные между собой, устройство хранения данных, включающее в себя устройство управления базами данных, соединенное с устройством управления обработкой данных, базу данных типов проблем и математических моделей и базу данных примеров решения проблем, устройство визуализации и устройство ввода-вывода для ввода исходных данных и вывода результатов, соединенные между собой, с устройством управления обработкой данных и с устройством управления базами данных, в устройство хранения данных введены база данных параметров уровня развития АСУ и база данных общематематических методов решения проблем, соединенные с устройством управления базами данных, а в устройство обработки данных введены устройство сравнения параметров АСУ и устройство ранжирования проблем развития АСУ, соединенные между собой и с устройством управления обработкой данных.The closest in technical essence and performed functions analogue (prototype) to the claimed one is the system implemented in the invention "Method for developing solutions to the problems of development of an automated control system (ACS) and its system implementing" (RF patent No. 2487409, G06N 99/00 (2010.01) , published: 3 July 10, 2013 Bull. No. 19). The system comprises a data processing device including a data processing control device, a virtual working version of the system synthesis device and an optimal solution selection device interconnected, a data storage device including a database management device connected to a data processing control device, a database data types of problems and mathematical models and a database of examples of problem solving, visualization device and input-output device for inputting initial data of output and output results, interconnected with a data processing control device and with a database management device, a database of parameters of the ACS development level and a database of general mathematical methods for solving problems connected to a database management device are entered into the data storage device, and into the device a data processing device has been introduced a device for comparing ACS parameters and a device for ranking problems in the development of ACS connected to each other and to a data processing control device.
Технической проблемой является низкая защищенность узлов СС от сетевой и потоковой компьютерной разведки (СиП КР), в связи с низкой эффективностью существующих решений по маскировки узлов СС в ЕСЭ, низкая защищенность узлов СС от сетевых атак (СА), в связи с низкой эффективностью существующих решений по применению имеющихся способов противодействия СА, вызванное отсутствием оценки времени активации и ослабляющих способностей имеющихся вариантов противодействия СА, а так же отсутствием динамического прогнозирования состояния узла сети связи с учетом предоставления различного количества услуг связи различным категориям абонентов в условиях противодействия СА.The technical problem is the low security of SS nodes from network and streaming computer intelligence (M&R KR), due to the low efficiency of existing solutions for masking SS nodes in the ESE, the low security of SS nodes from network attacks (SA), due to the low efficiency of existing solutions on the application of existing methods of counteracting CA, caused by the lack of an assessment of the activation time and the weakening abilities of the available options for counteracting CA, as well as the lack of dynamic prediction of the state of the network communication, taking into account the provision of a different number of communication services to various categories of subscribers in the context of counteraction with CA.
Решением указанных технических проблем является создание способа эффективного использования вариантов противодействия сетевой и потоковой компьютерным разведкам и сетевым атакам и системы его реализующей, обеспечивающих достижение следующего технического результата: повышение защищенности узлов СС от СиП КР, за счет повышения эффективности процесса маскировки узлов СС в ЕСЭ, достигающееся введением в систему блока группы датчиков РСМ контроля состояния элемента сети связи, блока идентификации и классификации СА, блока активации вариантов противодействия СА, блока управления активацией вариантов противодействия СА, блока оптимизации контролируемых параметров; повышение защищенности узлов СС от СА, за счет повышения эффективности существующих решений по применению имеющихся способов противодействия СА, оценкой времени активации и ослабляющих способностей имеющихся вариантов противодействия СА, а так же динамическим прогнозированием состояния узла сети связи с учетом предоставления различного количества услуг связи различным категориям абонентов в условиях противодействия СА достигающееся введением в систему блока прогнозирования параметров СА, блока управления РСМ, блока прогнозирования состояния элемента сети связи в условиях СА, блока моделирования совместного применения способов и вариантов противодействия.The solution to these technical problems is to create a way to effectively use the options for counteracting network and streaming computer intelligence and network attacks and implementing it, providing the following technical result: increasing the security of SS nodes from M & A KR, by increasing the efficiency of the process of masking SS nodes in the ESE, achieved introducing into the system a block of a group of RSM sensors a control of the state of a communication network element, an identification and classification block of an SA, an activation Rianta counter CA, activation control unit CA for this counter, block optimization of controllable parameters; increasing the security of the SS nodes from the CA by increasing the effectiveness of existing solutions for using existing methods of counteracting the CA, evaluating the activation time and weakening abilities of the available options for countering the CA, as well as dynamically predicting the state of the node of the communication network taking into account the provision of a different number of communication services to various categories of subscribers under conditions of counteraction of CA, achieved by introducing into the system a block of forecasting parameters of CA, PCM control unit, block predicted the state of the element of the communication network in the conditions of the CA, the modeling block of the joint application of methods and options for counteraction.
Техническая проблема решается тем, что в способе эффективного использования вариантов противодействия сетевой и потоковой компьютерных разведок и сетевым атакам и система его реализующая» выполняется следующая последовательность действий:The technical problem is solved by the fact that in the method of effectively using the options for countering network and streaming computer intelligence and network attacks and the system that implements it, the following sequence of actions is performed:
1. Способ эффективного использования вариантов противодействия сетевой и потоковой компьютерных разведок и сетевым атакам и система его реализующая заключающийся в том, что среди параметров сети связи, сетевой и потоковой компьютерной разведки и сетевых атак выделяют отдельные параметры, которые являются признаками технического состояния сети связи, ведения сетевой и потоковой компьютерной разведки и сетевых атак, сравнивают значения выделенных параметров с эталонными признаками исходного алфавита классов состояний и по результатам сравнения определяют группу классов возможного состояния в условиях ведения сетевой и потоковой компьютерной разведки и сетевых атак, сокращают количество контролируемых параметров состояния сети связи в условиях ведения сетевой и потоковой компьютерной разведки и сетевых атак за счет выявления сильной корреляционной зависимости между параметрами технического состояния сети связи, между параметрами сетевой и потоковой компьютерной разведки и сетевых атак, осуществляют контроль параметров сети связи, сетевой и потоковой компьютерной разведки и сетевых атак, с учетом динамики изменений выделенных контролируемых параметров осуществляют прогнозирование времени наступления критического (предотказового) состояния сети связи, измеряют параметры эксплуатационных отказов и сбоев на однотипных функционирующих сетях связи, измеряют параметры сетевой и потоковой компьютерной разведки и сетевых атак на однотипные функционирующие сети связи, сохраняют измеренные значения в блоке хранения данных, заносят измеренные значения в блок обработки данных, исходя из топологии создаваемой сети связи, определяют возможные места размещения точек мониторинга контролируемых параметров сети связи, сетевой и потоковой компьютерной разведки и сетевых атак, формируют модель распределенной системы мониторинга технического состояния сети связи, сокращают количество точек мониторинга распределенной системы мониторинга в условиях ведения сетевой и потоковой компьютерной разведки и сетевых атак за счет выявления сильной корреляционной зависимости между значениями параметров технического состояния сети связи в точках мониторинга в условиях эксплуатационных отказов и сбоев и параметрами сетевой и потоковой компьютерной разведки и сетевых атак, по заданной достоверности контроля технического состояния осуществляют контроль параметров сети связи, сетевой и потоковой компьютерной разведки и сетевых атак для случаев нормального функционирования сети связи, изменяют количество точек мониторинга для нормального функционирования, формируют физические модели сетевой и потоковой компьютерной разведки и сетевых атак злоумышленника, моделируют функционирование сети связи и распределенной системы мониторинга в условиях эксплуатационных отказов и сбоев, ведения сетевой и потоковой компьютерной разведки и сетевых атак, рассчитывают и оценивают достоверность измеренных параметров распределенной системы мониторинга, изменяют количество и места расстановки точек мониторинга, рассчитывают параметры быстродействия распределенной системы мониторинга по обнаружению эксплуатационных отказов и сбоев, а так же фактов ведения сетевой и потоковой компьютерной разведки и сетевых атак, разрабатывают мероприятия по противодействию сетевой и потоковой компьютерной разведки и сетевых атак, осуществляют развертывание и функционирование сети связи, осуществляют развертывание и функционирование распределенной системы мониторинга для нормальных условий функционирования сети связи, устанавливают соединения с системами мониторинга провайдера предоставляющего услуги связи и другими независимыми системами обнаружения сетевых атак, во время функционирования сети связи проводят мониторинг параметров сетевой и потоковой компьютерной разведки и сетевых атак, при фиксации факта ведения сетевой и потоковой компьютерной разведки включают все точки мониторинга и увеличивают количество контролируемых параметров сетевой и потоковой компьютерной разведки и сетевых атак, на основании имеющихся статистических данных прогнозируют параметры сетевой и потоковой компьютерной разведки и сетевых атак, а так же параметры сети связи в условиях ведения сетевых атак, при фиксации факта ведения сетевой атаки реконфигурируют распределенную систему мониторинга путем сокращения контролируемых параметров и отключении некоторых точек мониторинга, на основании данных полученных от распределенной системы мониторинга о параметрах сетевой атаки и прогнозируемых значений сети связи выполняют комплекс мероприятий по противодействию сетевым атакам, по окончанию воздействия сравнивают измеренные параметры сетевой атаки и значения параметров полученные от независимых сторонних систем мониторинга, 1. A method for the effective use of options for countering network and streaming computer intelligence and network attacks and its system that consists in the fact that among the parameters of the communication network, network and streaming computer intelligence and network attacks, individual parameters are distinguished that are signs of the technical state of the communication network network and streaming computer intelligence and network attacks, compare the values of the selected parameters with the reference features of the original alphabet of state classes and by the result comparisons define a group of classes of a possible state in the conditions of network and streaming computer intelligence and network attacks, reduce the number of monitored parameters of the state of the communication network in the conditions of network and streaming computer intelligence and network attacks by identifying a strong correlation between the parameters of the technical state of the communication network, between network and streaming computer intelligence and network attacks, monitor the parameters of the communication network, network and streaming computer intelligence and network attacks, taking into account the dynamics of changes in the identified controlled parameters, they forecast the time of the critical (pre-failure) state of the communication network, measure the parameters of operational failures and failures on the same functioning communication networks, measure the parameters of network and streaming computer intelligence and network attacks on the same functioning communication networks, store the measured values in the data storage unit, enter the measured values into the data processing unit, based on the topology the created communication network, determine the possible locations of monitoring points for monitoring parameters of the communication network, network and streaming computer intelligence and network attacks, form a model of a distributed monitoring system for the technical condition of the communication network, reduce the number of monitoring points of a distributed monitoring system in the conditions of network and streaming computer intelligence and network attacks by identifying a strong correlation between the values of the parameters of the technical state of the communication network at monitoring in conditions of operational failures and failures and the parameters of network and streaming computer intelligence and network attacks, for a given reliability of monitoring the technical condition, monitor the parameters of the communication network, network and streaming computer intelligence and network attacks for cases of normal functioning of the communication network, change the number of monitoring points for normal functioning, form physical models of network and streaming computer intelligence and network attacks of the attacker, model the functions positioning a communication network and a distributed monitoring system in the conditions of operational failures and failures, conducting network and streaming computer intelligence and network attacks, calculate and evaluate the reliability of the measured parameters of a distributed monitoring system, change the number and location of monitoring points, calculate the performance parameters of a distributed monitoring system for detection operational failures and failures, as well as the facts of conducting network and streaming computer intelligence and network attacks, ra work on measures to counteract network and streaming computer intelligence and network attacks, deploy and operate a communication network, deploy and operate a distributed monitoring system for normal conditions of functioning of a communication network, establish connections with monitoring systems of the provider of the communication service and other independent network attack detection systems , during the operation of the communication network, monitoring the parameters of the network and streaming computer intelligence and network attacks, while fixing the fact of network and streaming computer intelligence, they include all monitoring points and increase the number of monitored parameters of network and streaming computer intelligence and network attacks, based on the available statistics, network and streaming computer intelligence and network attacks are predicted, and Also, the parameters of the communication network in the conditions of conducting network attacks, when fixing the fact of conducting a network attack, reconfigure the distributed monitoring system by abridging To monitor the controlled parameters and disable some monitoring points, on the basis of data received from the distributed monitoring system on the parameters of the network attack and the predicted values of the communication network, a set of measures is taken to counteract network attacks, at the end of the impact, the measured parameters of the network attack and the parameter values obtained from independent third-party systems are compared monitoring
отличающееся тем, что после выделения параметров, являющихся признаками технического состояния сети связи, ведения сетевой и потоковой компьютерной разведки и сетевых атак, формируют модели узла сети связи с системой защиты, учитывающей способы противодействия сетевым атакам, учитывая различное число абонентов, которым предоставляется различное количество услуг связи.characterized in that after selecting parameters that are signs of the technical condition of the communication network, conducting network and streaming computer intelligence and network attacks, form the models of the communication network node with a security system that takes into account ways to counter network attacks, taking into account the different number of subscribers who are provided with a different number of services communication.
Моделируют сетевые атаки на узел сети связи с учетом системы защиты, измеряют время активации способов противодействия; измеряют ослабляющие способности способов противодействия, результаты сохраняют.They simulate network attacks on a communication network node taking into account the protection system, measure the activation time of countermeasures; measure the attenuating abilities of countermeasures, save the results.
После того, как сокращают количество точек мониторинга распределенной системы мониторинга в условиях ведения сетевой и потоковой компьютерной разведки и сетевых атак за счет выявления сильной корреляционной зависимости между значениями параметров технического состояния сети связи в точках мониторинга в условиях эксплуатационных отказов и сбоев и параметрами сетевой и потоковой компьютерной разведки и сетевых атак, проводят выбор узла Единой сети электросвязи для подстройки.After reducing the number of monitoring points of a distributed monitoring system in the context of network and streaming computer intelligence and network attacks by identifying a strong correlation between the values of the parameters of the technical state of the communication network at the monitoring points in the conditions of operational failures and failures and the parameters of the network and streaming computer intelligence and network attacks, conduct the selection of a Unified Telecommunication Network node for tuning.
Производят подстройку узла сети связи.Adjust the communication network node.
После разработки мероприятий по противодействию сетевой и потоковой компьютерной разведки и сетевых атак, разрабатывают комплекс мероприятий с учетом времени активации и ослабления силы сетевой атаки возможностями системы защиты; во время мониторинга параметров сетевой и потоковой компьютерной разведки и сетевых атак, проводят мониторинг изменения параметров узла сети связи.After developing measures to counteract network and streaming computer intelligence and network attacks, a set of measures is developed taking into account the time of activation and attenuation of the strength of a network attack by the capabilities of the protection system; while monitoring the parameters of network and streaming computer intelligence and network attacks, monitor changes in the parameters of the communication network node.
Оптимизируют параметры узла сети связи, превышающие заданные значения.Optimize the parameters of the communication network node in excess of the specified values.
После фиксации фактов ведения СиП КР или СА на основании имеющихся признаков идентифицируют злоумышленника.After fixing the facts of maintaining the M & A of the Kyrgyz Republic or the CA, based on the available signs, an attacker is identified.
При фиксации факта ведения сетевой и потоковой компьютерной разведки включают все точки мониторинга и увеличивают количество контролируемых параметров сетевой и потоковой компьютерной разведки и сетевых атак, на основании имеющихся статистических данных прогнозируют параметры сетевой и потоковой компьютерной разведки и сетевых атак, а так же параметры сети связи в условиях ведения сетевых атак, при фиксации факта ведения сетевой атаки реконфигурируют распределенную систему мониторинга путем сокращения контролируемых параметров и отключении некоторых точек мониторинга после чего поводят оценку возможностей злоумышленника.When fixing the fact of conducting network and streaming computer intelligence, they include all monitoring points and increase the number of monitored parameters of network and streaming computer intelligence and network attacks, based on the available statistical data, the parameters of network and streaming computer intelligence and network attacks are predicted, as well as the parameters of the communication network in the conditions of conducting network attacks, while fixing the fact of conducting a network attack, reconfigure the distributed monitoring system by reducing the monitored parameters and disable some monitoring points and then evaluate the capabilities of the attacker.
По окончании воздействия сравнивают фактические значения системы защиты с заданными. При превышении заданных значений вносят изменения в исходные данные.At the end of the exposure, the actual values of the protection system are compared with the set values. If the specified values are exceeded, changes are made to the source data.
Техническая проблема решается за счет того, что в систему эффективного использования вариантов противодействия сетевой и потоковой компьютерных разведок и сетевым атакам, включающую устройство визуализации соединенное с устройством управления обработкой данных и устройством управления базами данных, устройство ввода-вывода исходных данных соединенного с устройством управления базами данных, устройство обработки данных включающее устройство управления обработкой данных соединенное с устройством ранжирования проблем развития и устройством сравнения параметров сети связи соединенного с устройством и устройством синтеза виртуального рабочего варианта системы соединенным с устройством выбора оптимального варианта решения, устройство хранения данных, включающее в себя устройство управления базами данных, соединенное с устройством управления обработкой данных и базой данных примеров решения проблем, базой данных типов проблем и математических моделей, базой данных параметров уравнения развития, базой данных общематематических методов решения проблем, дополнительно в устройство обработки данных введено устройство моделирования (прогнозирования) состояния узла сети связи состоящее из блока прогнозирования параметров информационно-технических воздействий соединенного с устройством ранжирования проблем развития, устройством сравнения параметров сети связи и блоком прогнозирования состояния узла сети связи в условиях информационно-технических воздействий соединенного с устройством сравнения параметров сети связи и блоком оптимизации контролируемых параметров соединенного с устройством сравнения параметров сети связи и блоком моделирования совместного применения способов и вариантов противодействия соединенное с устройством сравнения параметров сети связи, введено устройство управления распределенной системой мониторинга состоящей из группы датчиков распределенной системой мониторинга принимающих информационные потоки характеризующие техническое состояние узла сети связи и сетевые атаки и соединенных с блок управления распределенной системой мониторинга, соединенным с устройством визуализации, устройством управления базами данных и блоком идентификации и классификации информационно-технических воздействий, введено устройство управления способами и вариантами противодействия информационно-техническим воздействиям состоящей из группы блоков активации способов противодействия информационно-технических воздействий соединенного с блоком управления активацией способов и вариантов противодействия соединенным с блоком управления распределенной системой мониторинга и устройством выбора оптимального варианта решения.The technical problem is solved due to the fact that in the system of effective use of options for countering network and streaming computer intelligence and network attacks, including a visualization device connected to a data processing control device and a database management device, an input-output device for input data connected to a database management device , a data processing device including a data processing control device connected to a device for ranking development problems and by means of comparison of the parameters of the communication network connected to the device and the synthesis device of the virtual working version of the system connected to the device for selecting the optimal solution, a data storage device including a database management device connected to a data processing control device and a database of problem solving examples, a database types of problems and mathematical models, a database of development equation parameters, a database of general mathematical methods for solving problems, add In particular, a device for modeling (predicting) the state of a communication network node consisting of a unit for predicting the parameters of information and technical effects connected to a device for ranking development problems, a device for comparing communication network parameters and a unit for predicting the state of a communication network node under conditions of information and technical effects with a device for comparing communication network parameters and an optimization unit of controlled parameters connected to devices m comparing the parameters of the communication network and the simulation unit for the joint application of methods and countermeasures connected to the device for comparing the parameters of the communication network, a control device for a distributed monitoring system consisting of a group of sensors of a distributed monitoring system receiving information flows characterizing the technical condition of the communication network node and network attacks and connected to control unit of a distributed monitoring system connected to a visualization device, device m for managing databases and an identification and classification block for information and technical actions; a device for controlling methods and options for counteracting information and technical actions consisting of a group of activation blocks for counteracting information and technical actions connected to a control unit for activating methods and options for counteracting connected to a distributed control unit has been introduced monitoring system and device for choosing the best solution.
Перечисленная новая совокупность существенных признаков обеспечивает повышение защищенности узлов СС от СА, за счет динамического прогнозирования состояния узла сети связи в условиях противодействия СА и использования способов и вариантов противодействия СА; повышения быстродействия процесса обработки данных характеризующих состояние сети связи; повышения быстродействия процесса принятия решения выбора способов и вариантов противодействия СА и их активации.The listed new set of essential features provides an increase in the security of the SS nodes from the CA, due to the dynamic prediction of the state of the communication network node in the conditions of counteraction of the CA and the use of methods and variants of counteraction of the CA; increase the speed of the data processing process characterizing the state of the communication network; increase the speed of the decision-making process of choosing methods and options for counteracting CA and their activation.
Результаты поиска известных решений в данной и смежной областях техники с целью выявления признаков, совпадающих с отличительными от прототипов признаками заявленного изобретения, показали, что они не следуют явным образом из уровня техники. Из определенного заявителем уровня техники не выявлена известность влияния предусматриваемых существенными признаками заявленного изобретения на достижение указанного технического результата. Следовательно, заявленное изобретение соответствует условию патентоспособности "изобретательский уровень".Search results for known solutions in this and related fields of technology in order to identify features that match the distinctive features of the claimed invention from the prototypes showed that they do not follow explicitly from the prior art. From the prior art determined by the applicant, the influence of the provided by the essential features of the claimed invention on the achievement of the specified technical result is not known. Therefore, the claimed invention meets the condition of patentability "inventive step".
«Промышленная применимость» разработанного способа и системы его реализующей обусловлена наличием элементной базы, на основе которой могут быть выполнены устройства, реализующие данный способ с достижением указанного в изобретении назначения. Разработанную систему, возможно, осуществить на базе программируемых логических интегральных схем (ПЛИС) (В.Б. Стешенко. Школа схемотехнического проектирования устройств обработки сигналов. Занятие 7. Реализация вычислительных устройств на ПЛИС. Электронный ресурс: kit-e.ru/articles/ circuit/2001_01_74.php). На основании анализа объема обрабатываемой информации от датчиков, требуемой скорости реакции системы на изменения состояния целесообразно применять ПЛИС «DE1-SOC» (производитель Technologies L.L.C. (USA) (Terasic). При реализации блока 16. (Группы датчиков РСМ контроля состояния узла сети связи) возможно применение сетевых датчиков ПАК Форпост 200МД (Компания «РНТ» (Россия))."Industrial applicability" of the developed method and its implementing system is due to the presence of the element base, on the basis of which devices can be made that implement this method to achieve the destination specified in the invention. The developed system may be implemented on the basis of programmable logic integrated circuits (FPGAs) (VB Steshenko. School of circuit design of signal processing devices.
Заявленный способ и система его реализующая поясняется фигурами, на которых показано:The claimed method and its implementing system is illustrated by figures, which show:
фиг. 1 - Обобщенная структурно-логическая последовательность способа эффективного использования вариантов противодействия сетевой и потоковой компьютерных разведок и сетевым атакам;FIG. 1 - Generalized structural and logical sequence of the method of effective use of options for countering network and streaming computer intelligence and network attacks;
фиг. 2 – Структурно-логическая последовательность моделирования функционирования РСМ;FIG. 2 - Structural and logical sequence of modeling the functioning of PCM;
фиг. 3 – Структурно-логическая последовательность затруднения ведения СиП КР;FIG. 3 - Structural and logical sequence of the difficulty of maintaining M & A KR;
фиг. 4 – Структурно-логическая последовательность оценки эффективности разработанных вариантов и способов противодействия СиП КР и СА; FIG. 4 - The structural and logical sequence of evaluating the effectiveness of the developed options and methods for counteracting M & A KR and SA;
фиг. 5 – Функциональная схема системы реализующей устройство эффективного использования вариантов противодействия СиП КР и СА;FIG. 5 - Functional diagram of a system that implements a device for the effective use of countermeasures of M & A of the Kyrgyz Republic and the CA;
Заявленный способ поясняется структурно-логической последовательностью (фиг.1), где в блоке 1 заблаговременно до начала развертывания создаваемой сети связи измеряют значения параметров сети связи и узлов СС функционирующих в указанном сегменте ЕСЭ (
В блоке 2 вводят значения технических параметров характеризующих создаваемую сети связи и элементов входящих в эту сеть (
В блоке 3 создают модели функционирования сети связи с системой защиты, учитывающей различные способы противодействия СА; модели функционирования узлов СС в условиях предоставления различных услуг связи различному количеству абонентов; модель действий j-го злоумышленника по вскрытию (
В блоке 4 измеряют время активации способов противодействия СА
(https://www.securitylab.ru/analytics/442099.php, патент РФ № 2636640 С2, Опубликован 27.11.2017 Бюл. № 33) их ослабляющую способность (Гречишников Е.В., Добрышин М.М., "Оценка способности узла виртуальной частной сети предоставлять услуги связи в условиях противодействия и DDoS-атакам", Военная Академия Связи имени маршала Советского Союза С.М. Буденного, научно-практическая конференция «Проблемы технического обеспечения войск в современных условиях»). Сохраняют измеренные значения в блоке хранения данных.In
(https://www.securitylab.ru/analytics/442099.php, RF patent No. 2636640 C2, published November 27, 2017 Bull. No. 33) their weakening ability (Grechishnikov E.V., Dobryshin M.M., "Assessment the ability of a virtual private network node to provide communication services in the context of counteraction and DDoS attacks ", Military Academy of Communications named after Marshal of the Soviet Union S. Budyonny, scientific-practical conference" Problems of technical support of troops in modern conditions)). Save the measured values in the data storage unit.
В блоке 5 определяются комбинации измеряемых параметров точками РСМ, количество функционирующих точек мониторинга при нормальных условиях, выявлении признаков ведения СиП КР и СА. Последовательность действий представлена на фигуре 2 и заключается в том, что в блоке 5.1 исходя из топологии создаваемой сети связи, а так же на основании статистических данных о действиях злоумышленника по ведению разведки и подавлению сети связи, определяют возможные места размещения точек мониторинга контролируемых параметров сети связи, СиП КР и DDoS-атак. Формируют физическую модель РСМ сети связи.In
В блоке 5.2 моделируют функционирование сети связи, РСМ, СиП КР и DDoS-атак. Измеряют быстродействие РСМ сети связи (
В блоке 5.3 на основании статистических данных создают базу данных эталонных признаков исходного алфавита классов состояний сети связи
Далее в блоке 5.4 сравнивают значения выделенных параметров с эталонными значениями признаков исходного алфавита классов состояний и по результатам сравнения определяют группу классов возможного состояния сети связи в условиях предоставления различных услуг связи различному количеству абонентов, при ведении СиП КР и DDoS-атак.Next, in block 5.4, the values of the selected parameters are compared with the reference values of the attributes of the initial alphabet of state classes and the group of classes of the possible state of the communication network is determined by the results of the comparison under the conditions of providing various communication services to a different number of subscribers when conducting M & A KR and DDoS attacks.
В блоке 5.5 определяют корреляционные связи между параметрами состояний сети связи (
где
При неизвестном законе распределения наблюдаемых параметров целесообразно использовать характеристики связи, свободные от вида распределения. В частности, одной из данных характеристик является коэффициент ранговой корреляции Спирмена (Статистические методы обработки результатов наблюдений: Учебник для вузов. Под редакцией доктора технических наук профессора Юсупова P.M. - Мин. обороны СССР, 1984. - 687 с).If the distribution law of the observed parameters is unknown, it is advisable to use communication characteristics that are free of the type of distribution. In particular, one of these characteristics is Spearman's rank correlation coefficient (Statistical Methods for Processing Observation Results: A Textbook for High Schools. Edited by Prof. Yusupov, Doctor of Technical Sciences, USSR Ministry of Defense, 1984. - 687 p.).
По значениям коэффициентов корреляции при заданном уровне достоверности к объемам выборок определяют значимость связи между внутренними параметрами, чем ближе значение коэффициента корреляции к ±1, тем ближе данная связь к линейной функциональной (Белько И.В., Свирид Г.П. Теория вероятностей и математическая статистика. Примеры и задачи: Учеб. пособие. Под. ред. Кузьмича К.К. - 2-е изд., стер. - Мн.: Новое знание, 2004. - 251 с).According to the values of the correlation coefficients at a given level of confidence to the sample sizes, the significance of the relationship between the internal parameters is determined, the closer the value of the correlation coefficient to ± 1, the closer this relationship is to the linear functional (Belko I.V., Svirid G.P. Probability theory and mathematical statistics, Examples and tasks: Textbook, Edited by KK Kuzmich - 2nd ed., Sr. - Mn .: New knowledge, 2004. - 251 s).
В блоке 5.6 на основании выявленных корреляционных связей между контролируемыми параметрами состояния сети связи, СиП КР и DDoS-атак сокращают количество контролируемых параметров. При отрицательном исходе данной операции считают, что параметры независимы. Сокращение параметров, находящихся в функциональной зависимости, позволяет избежать избыточности статистической информации, заключенной в них, тем самым повысить быстродействие РСМ сети связи.In block 5.6, based on the revealed correlation between the monitored parameters of the state of the communication network, S&P KR and DDoS attacks, the number of monitored parameters is reduced. With a negative outcome of this operation, it is believed that the parameters are independent. Reducing the parameters that are in functional dependence, avoids the redundancy of the statistical information contained in them, thereby increasing the speed of the PCM communication network.
В блоке 5.7 определяют корреляционные связи между значениями параметров состояний сети связи при ведении СиП КР и DDoS-атак в различных точках мониторинга (
где
В блоке 5.8 на основании выявленных корреляционных связей между контролируемыми параметрами состояния сети связи, СиП КР и DDoS-атак в различных точках мониторинга, исключают точки мониторинга из РСМ сети связи. При отрицательном исходе данной операции считают, что параметры независимы. Сокращение точек мониторинга, находящихся в функциональной зависимости, позволяет избежать избыточности статистической информации, заключенной в них, тем самым повысить быстродействие РСМ сети связи.In block 5.8, based on the revealed correlation between the monitored parameters of the state of the communication network, S&P KR and DDoS attacks at various monitoring points, the monitoring points are excluded from the PCM of the communication network. With a negative outcome of this operation, it is believed that the parameters are independent. Reducing the monitoring points, which are in functional dependence, avoids the redundancy of the statistical information contained in them, thereby increasing the speed of the PCM communication network.
В блоке 5.9 определяют оптимальное количество точек мониторинга, места их размещения и контролируемые параметры для случаев нормального функционирования сети связи, функционирования сети связи при выявлении действий СиП КР и DDoS-атак злоумышленникаIn block 5.9, the optimal number of monitoring points, their locations and monitored parameters are determined for cases of normal functioning of the communication network, the functioning of the communication network when detecting the actions of M&R KR and DDoS attacks of an attacker
В блоке 5.10 моделируют функционирование сети связи, РСМ, СиП КР и DDoS-атак с сокращенным количеством точек мониторинга и указанных контролируемых параметров. По заданной достоверности контроля технического состояния осуществляют контроль параметров сети связи, СиП КР и DDoS-атак. Измеряют быстродействие РСМ сети связи. Выделенные параметры сохраняют в базу данных. In block 5.10, the functioning of a communication network, PCM, S&P KR and DDoS attacks is simulated with a reduced number of monitoring points and the indicated controlled parameters. Given the reliability of monitoring the technical condition, control the parameters of the communication network, M & A KR and DDoS attacks. The performance of the PCM communication network is measured. The selected parameters are saved to the database.
В блоке 5.11 сравнивают быстродействие РСМ с сокращенным количеством точек мониторинга и контролируемых параметров для различных определенных случаев функционирования сети связи с имеющимися значениями быстродействия РСМ с полным количеством точек мониторинга и параметров в условиях предоставления различных услуг связи различному количеству абонентов, при различных значениях параметров СиП КР и DDoS-атак.In block 5.11, the PCM performance is compared with the reduced number of monitoring points and monitored parameters for various specific cases of the communication network functioning with the available PCM performance values with the total number of monitoring points and parameters in the context of the provision of various communication services to a different number of subscribers, at different values of M&R parameters and DDoS attacks.
В блоке 5.12 проводят оценку быстродействия системы мониторинга. Если значения достоверности РСМ отличаются от требуемых изменяют (увеличивают/уменьшают) количество и места расстановки точек мониторинга и количество контролируемых параметров.In block 5.12, the performance of the monitoring system is evaluated. If the PCM reliability values differ from the required ones, they change (increase / decrease) the number and location of monitoring points and the number of monitored parameters.
В блоке 6 на основании измеренных значений топологии и параметров сети связи и параметров узла сети связи сторонних организаций функционирующих у выбранном сегменте ЕСЭ и требований предъявляемых к создаваемой сети связи осуществляется подстройка параметров с целью затруднения ведения СиП КР злоумышленника (маскирование) (Фиг. 3).In
На основании измеренных данных в блоке 6.1 определяют сети связи и элементы сетей связи на которые осуществлялась наименьшее количество деструктивных воздействий.On the basis of the measured data in block 6.1 determine the communication network and the elements of communication networks on which the least amount of destructive effects was carried out.
В блоке 6.2 проводится выбор сети связи из перечня сетей вошедших в перечень сетей связи подвергшихся наименьшему количеству деструктивных воздействий (
В блоке 6.3 исходя из топологии, технических параметров выбранной сети связи и технических параметров ее элементов сравнивают топологию, технические параметры сети связи и ее элементов с аналогичными значениями сети связи. In block 6.3, based on the topology, technical parameters of the selected communication network and the technical parameters of its elements, the topology, technical parameters of the communication network and its elements are compared with similar values of the communication network.
Если выбранная сеть связи по своим техническим параметрам или топологии не удовлетворяет требованиям предъявляемым к создаваемой сети связи, то в блоке 2 осуществляют изменение топологии создаваемой сети связи и (или) изменяют технические параметры сети связи, и (или) технические параметры узла сети связи и повторно осуществляют сравнение.If the selected communication network according to its technical parameters or topology does not satisfy the requirements for the created communication network, then in
Если выбранная сеть связи удовлетворяет требуемым значения, то в блоке 6.4 рассчитывают значение коэффициента контраста согласно формул (Модель узла доступа сети связи как объекта сетевой и потоковой компьютерных разведок и DDoS-атак, Вопросы кибербезопасности №3(16) – 2016г. Гречишников Е.В., Добрышин М.М., Закалкин П.В.):If the selected communication network satisfies the required value, then in block 6.4 the value of the contrast coefficient is calculated according to the formulas (Model of the access node of the communication network as an object of network and streaming computer intelligence and DDoS attacks, Cybersecurity Issues No. 3 (16) - 2016. Grechishnikov E.V. ., Dobryshin M.M., Zakalkin P.V.):
где
где
В блоке 6.5 сравнивают значения рассчитанного коэффициента контраста с требуемым значением коэффициента контраста.In block 6.5, the values of the calculated contrast ratio are compared with the desired contrast ratio.
Если значение коэффициента контраста не удовлетворяет значению, то в блоке 2 осуществляется подстройка параметров сети связи под значения параметров выбранной сети связи.If the value of the contrast coefficient does not satisfy the value, then in
Если значение коэффициента контраста удовлетворяет значению, то в блоке 6.6 рассчитывают вероятность вскрытия узла сети связи средствами СиП КР j – го злоумышленника согласно формул (Модель узла доступа VPN как объекта сетевой и потоковой компьютерных разведок и DDoS-атак, Вопросы кибербезопасности №3(16) – 2016г. Гречишников Е.В., Добрышин М.М., Закалкин П.В.):If the value of the contrast coefficient satisfies the value, then in block 6.6, the probability of the junction of the communication network node being opened by means of S&P KR of the jth attacker is calculated according to the formulas (VPN access node model as an object of network and streaming computer intelligence and DDoS attacks, Cybersecurity issues No. 3 (16) - 2016. Grechishnikov E.V., Dobryshin M.M., Zakalkin P.V.):
где
В блоке 6.7 сравнивают вероятность вскрытия узла сети связи средствами СиП КР j – го злоумышленника с допустимыми значениями:In block 6.7, the likelihood of the opening of the communication network node by the means of S&P KR of the j-th attacker is compared with valid values:
Если значение вероятности вскрытия сети связи удовлетворяет выражению 7, то продолжают работу алгоритма в блоке 7.If the value of the probability of opening the communication network satisfies
Если значение коэффициента контраста не удовлетворяет, то в блоках 6.8 и 6.9 осуществляется выбор следующей сети связи из перечня сетей вошедших в перечень сетей связи подвергшихся наименьшему количеству деструктивных воздействий (
Если ни одна из выбранных сетей связи (
Если по результатам подстройки параметров сети связи под значения сети связи ЕСЭ РФ, значения вероятности вскрытия не удовлетворяют требуемым значения и изменить значения параметров сети связи невозможно переходят к расчетам в блоке 7.If according to the results of adjusting the parameters of the communication network to the values of the communication network of the ESE of the Russian Federation, the values of the probability of tampering do not satisfy the required values and it is impossible to change the values of the parameters of the communication network and proceed to the calculations in
В блоке 7 разрабатывают мероприятия по противодействию СиП КР и DDoS-атак. Оценивают эффективность разработанных вариантов и способов противодействия СиП КР и DDoS-атакам (Фиг. 4):In
В блоке 7.1 определяют варианты воздействия и принципы их осуществления (по источнику атаки; пути атаки; цели и способу цели указания; способу реализации и используемому протоколу) (https://firstvds.ru/technology/types-of-ddos). In block 7.1, the impact options and the principles of their implementation are determined (by source of attack; ways of attack; purpose and method of purpose of indication; method of implementation and protocol used) (https://firstvds.ru/technology/types-of-ddos).
В блоке 7.2 Разработка частных предложении по устранению (снижению) деструктивного влияния вариантов и способов подавления узла сети связи DDoS-атакой. In block 7.2, the development of a private proposal to eliminate (reduce) the destructive effect of options and methods of suppressing a communication node in a DDoS attack.
В блоке 7.3 на основе данных полученных в блоках 3 и 4, с учетом ослабляющего эффекта системы защиты сети связи, разрабатывают комплекс способов противодействия СА на основе времени активации и эффективности каждого способа противодействия.In block 7.3, based on the data obtained in
В блоке 7.4 формируется уравнение регрессии процесса функционирования узла сети связи в условиях DDoS-атак и противодействия им разработанными вариантами и способами противодействия.In block 7.4, a regression equation is formed for the process of functioning of the communication network node in the conditions of DDoS attacks and counteraction to them with the developed variants and methods of counteraction.
В блоке 7.5 решается оптимизационная задача по выбору варианта противодействия DDoS-атаке или комплексному использованию нескольких вариантов, способов. In block 7.5, the optimization problem is solved by choosing the option to counter the DDoS attack or the integrated use of several options, methods.
В блоке 8 осуществляют развертывание сети связи, распределенной системы мониторинга, вариантов и способов противодействия DDoS-атакам.In
В блоке 9 определяется время окончания работы сети связи.In
В блоке 10 осуществляется постоянный мониторинг технических параметров сети связи наиболее точно удовлетворяющей техническим требованиям), осуществляют поиск впервые созданных сетей связи, а так же оценивают параметры других функционирующих сетей связи в районе развёртывания сети связи; контролируют значения параметров сети связи, на основании анализа параметров сети связи фиксируют признаки ведения СиП КР и DDoS-атак. In
В блоке 11 сравнивают параметры сети связи с аналогичными параметрами сети связи, а так же с параметрами других сетей. Если условия выполняются то продолжают осуществлять мониторинг в блоке 9.In block 11, the parameters of the communication network are compared with similar parameters of the communication network, as well as with the parameters of other networks. If the conditions are met, then continue to monitor in
Если равенства не выполняется то в блоке 12, принимается решение о перестройке p-х параметров созданной сети связи в блоке 5.If the equality is not fulfilled then in block 12, a decision is made to rebuild the p-parameters of the created communication network in
В блоке 13 осуществляют постоянный мониторинг признаков и (или) действий злоумышленника по вскрытию созданной сети связи. На основании выбранных критериев фиксируют факт начала вскрытия созданной сети связи.In block 13, they constantly monitor the signs and (or) the actions of the attacker to open the created communication network. Based on the selected criteria, the fact of the opening of the created communication network is recorded.
В блоке 14 на основании анализа значений параметров узла сети связи определяют значения параметров СиП КР.In
В блоке 15 осуществляют постоянный мониторинг признаков и (или) действий злоумышленника по деструктивному воздействия на созданную сеть связи. На основании выбранных критериев осуществляют фиксацию факта начала деструктивного воздействия на созданную сеть связи.In
В блоке 16 на основании анализа значений параметров узла сети связи определяют значения параметров DDoS-атаки.In
В блоке 17 на основании статистических данных и индивидуальных особенностей аппаратуры вскрытия, имеющихся у злоумышленника, принимают решение об идентификации принадлежности аппаратуры определённому злоумышленнику.In
В блоке 18 на основании особенностей ведения СиП КР или DDoS-атак принимается решение об идентификации СиП КР или DDoS-атаки.In
При обнаружении признаков ведения СиП КР в блоке 19 активируются варианты функционирования СМ при ведении СиП КР.Upon detection of signs of conducting M & A KR in
При обнаружении признаков ведения DDoS-атак в блоке 24 активируются варианты функционирования СМ при ведении DDoS-атак.Upon detection of signs of conducting DDoS attacks in
В блоке 20 оценивают возможности злоумышленника по вскрытию сети связи.In
Рассчитывают фактическое время вскрытия узла сети связи (
Определяются узлы сети связи на которые возможно деструктивное воздействие:The nodes of the communication network on which a destructive effect is possible are determined:
В блоке 21 оцениваются возможности злоумышленника по подавлению узлов СС (
где К3 – коэффициент эффективности атаки j – го злоумышленника на узел сети связи, К4 – коэффициент способности системы защиты z – го узла сети связи противодействовать атакам,
Сравнивают вероятность подавления узла сети связи (
В блоке 22 оцениваются возможности узла сети связи предоставлять услуги связи абонентам различных категорий:In
Рассчитывают вероятность предоставления y-й услуги связи (
: :
Сравнивают вероятность предоставления y-й услуги связи (
Определяют время отказа в обслуживании y-й услуги связи и нескольких услуг связи для абонентов i-ой категории вызванные DDoS-атакой (Модель узла доступа VPN как объекта сетевой и потоковой компьютерных разведок и DDoS-атак, Гречишников Е.В., Добрышин М.М., Закалкин П.В., Вопросы кибербезопасности №3(16) – 2016г.): The denial of service for the y-th communication service and several communication services for i-category subscribers is determined by a DDoS attack (VPN access node model as an object of network and streaming computer intelligence and DDoS attacks, E. Grechishnikov, M. Dobryshin M., Zakalkin P.V., Cybersecurity Issues No. 3 (16) - 2016):
Сравнивают время функционирования узла сети связи со временем наступления отказа в обслуживании вызванного DDoS-атакой:Compare the operating time of a communication network node with the time of a denial of service caused by a DDoS attack:
В блоке 23 на основании разработанных вариантов и способов противодействия DDoS-атак проведенных в блоке 7 и возможного наносимого ущерба вызванного DDoS-атакой вырабатывается последовательность активации способов и вариантов противодействия. In
В блоке 25, если оценка возможностей злоумышленника по подавлению узла сети связи, а так же оценка возможностей узла сети связи предоставлять услуги связи абонентам различных категорий не проводилась, то проводятся действия указанные в блоках 20-22.In
Если оценка проведена, то в блоке 26 применяются варианты и способы противодействия DDoS-атакам.If the assessment is carried out, then in
В блоке 27 по окончании воздействия оценивают полученные результаты воздействия на узел сети связи, сравнивают с прогнозируемыми результатами. При необходимости дополняют имеющиеся данные в блоках 1, 2.In
В блоке 28 выводят результаты проведенных расчетов и полученных результатов.In
Система реализующая способ эффективного использования вариантов противодействия СиП КР (фиг. 5), включает устройство визуализации (3) соединенное с устройством управления обработкой данных (14) и устройством управления базами данных (12). Устройство ввода-вывода исходных данных (4) соединенного с устройством управления базами данных (12). Устройство обработки данных (1) включающее устройство управления обработкой данных (14) соединенное с устройством ранжирования проблем развития (13) и устройством сравнения параметров сети связи (7) соединенного с устройством 14 и устройством синтеза виртуального рабочего варианта системы (5) соединенным с устройством выбора оптимального варианта решения (6). The system that implements the method of effective use of anti-M&C countermeasures options (Fig. 5) includes a visualization device (3) connected to a data processing control device (14) and a database management device (12). An input-output device for input data (4) connected to a database management device (12). A data processing device (1) including a data processing control device (14) connected to a development problems ranking device (13) and a communication network parameter comparison device (7) connected to the
Устройство хранения данных (2), включающее в себя устройство управления базами данных (12), соединенное с устройством управления обработкой данных (14) и базой данных примеров решения проблем (8), базой данных типов проблем и математических моделей (9), базой данных параметров уравнения развития (10), базой данных общематематических методов решения проблем (11), дополнительно в устройство обработки данных (1) введено устройство моделирования (прогнозирования) состояния узлов СС (22) состоящее из блока прогнозирования параметров СА (23) соединенного с устройством ранжирования проблем развития (13).A data storage device (2) including a database management device (12) connected to a data processing control device (14) and a database of problem solving examples (8), a database of problem types and mathematical models (9), a database parameters of the development equation (10), a database of general mathematical methods for solving problems (11), in addition to the data processing device (1), a device for modeling (predicting) the state of the nodes of the SS (22) was introduced, consisting of a block for predicting the parameters of the SA (23) connected to a device for ranking development problems (13).
Устройством сравнения параметров сети связи (7) и блоком прогнозирования состояния узлов СС в условиях СА (24) соединенного с устройством сравнения параметров сети связи (7) и блоком оптимизации контролируемых параметров (25) соединенного с устройством сравнения параметров сети связи (7) и блоком моделирования совместного применения способов и вариантов противодействия (26) соединенное с устройством сравнения параметров сети связи (7), введено устройство управления распределенной системой мониторинга (15) состоящей из группы датчиков распределенной системой мониторинга (16) принимающих информационные потоки характеризующие техническое состояние узлов СС и СА и соединенных с блок управления распределенной системой мониторинга (17), соединенным с устройством визуализации (3), устройством управления базами данных (12) и блоком идентификации и классификации СА (18), введено устройство управления способами и вариантами противодействия СА (19) состоящей из группы блоков активации способов противодействия СА (20), соединенных со способами противодействия СА и блоком управления активацией способов и вариантов противодействия (21) соединенным с блоком управления распределенной системой мониторинга (17) и устройством выбора оптимального варианта решения (6).Сформулированная задача изобретения подтверждается представленным расчётом заявленного способа.The device for comparing the parameters of the communication network (7) and the unit for predicting the state of the nodes of the SS in the conditions of the CA (24) connected to the device for comparing the parameters of the communication network (7) and the optimization unit for the controlled parameters (25) connected to the device for comparing the parameters of the communication network (7) and the unit simulation of the joint application of methods and variants of counteraction (26) connected to a device for comparing communication network parameters (7), a control device for a distributed monitoring system (15) consisting of a group of distribution sensors has been introduced a monitoring system (16) receiving information flows characterizing the technical condition of the SS and CA nodes and connected to the control unit of the distributed monitoring system (17) connected to the visualization device (3), the database management device (12) and the CA identification and classification unit ( 18), a device for controlling the methods and options for counteracting the CA (19) consisting of a group of blocks of activation of the methods of counteracting the CA (20) connected to the methods of counteracting the CA and the activation control unit was introduced methods and reaction variants (21) connected to a distributed control system monitoring unit (17) and the device select the optimal variant solutions (6) .Sformulirovannaya object of the invention is confirmed by the claimed method presented calculation.
Оценка эффективности заявленной способа и системы производилась следующим образом. Evaluation of the effectiveness of the claimed method and system was carried out as follows.
1. Процесс противодействия ведению злоумышленником СиП КР, заключается в подстройке параметров узла сети связи под параметры узлов, функционирующие в заданном сегменте ЕСЭ РФ. Для расчета используются исходные данные таблицы 1.1. The process of counteracting the conduct by an attacker of M & As of the Kyrgyz Republic consists in adjusting the parameters of the communication network node to the parameters of the nodes operating in a given segment of the RF ESE. For the calculation, the initial data of table 1 are used.
Таблица 1Table 1
Продолжение таблицы 1Continuation of table 1
Расчет вероятности идентификации узлов СС (
- расчет коэффициента быстродействия системы вскрытия (
- коэффициент контраста не рассчитывается и принимается равным одному (
- расчет вероятности идентификации узлов СС:- calculation of the probability of identification of the nodes of the SS:
Расчет вероятности идентификации узлов СС (
- расчет коэффициента быстродействия системы вскрытия (
- проводится расчет коэффициента контраста (
Таблица 2table 2
– расчет вероятности идентификации узлов СС (
Таблица 3Table 3
На основании результатов сравнения рассчитанных значений вероятности идентификации, представленных в таблице 3, следует вывод, что применение разработанной подпроцесса, затрудняет идентификацию узла сети связи средствами СиП КР на 9,67-19,96 %.Based on the results of comparing the calculated values of the identification probability presented in Table 3, it follows that the application of the developed subprocess makes it difficult to identify a communication network node by means of M&S KR by 9.67-19.96%.
2. Процесс выработки решений по использованию имеющихся способов противодействия DDoS-атакам и вариантов их применения заключается в оценке способности узла сети связи предоставлять требуемое количество услуг связи (УС), заданному количеству абонентов в условиях ведения DDoS-атак. 2. The process of developing decisions on the use of existing methods of counteracting DDoS attacks and options for their application is to assess the ability of a communication network node to provide the required number of communication services (CS) to a given number of subscribers in the context of DDoS attacks.
Оценке способности существующих способов и вариантов противодействия DDoS-атакам минимизировать наносимый ущерб. При не способности узла сети связи выполнять свои функциональные задачи, выработке решений по применению способов и (или) вариантов противодействия, с целью обеспечения функционирования в заданном режиме. Assessing the ability of existing methods and options to counter DDoS attacks to minimize the damage done. If the communication network node is not able to fulfill its functional tasks, develop solutions for the application of methods and (or) countermeasures, in order to ensure functioning in a given mode.
Используемые в расчете исходные данные представлены в таблицах 1, 2, 4-6. Где абоненты №1-3 – абоненты первой категории, абоненты № 4-6 –абоненты второй категории, абоненты № 7-9 – абоненты 3 категории.The initial data used in the calculation are presented in tables 1, 2, 4-6. Where subscribers No. 1-3 are subscribers of the first category, subscribers No. 4-6 are subscribers of the second category, subscribers No. 7-9 are subscribers of the 3rd category.
Таблица 4Table 4
Таблица 5Table 5
Таблица 6Table 6
(сокращение количества УС абонентам низших категорий)Option 1 (method 1)
(reduction in the number of subscribers to lower categories)
Продолжение таблицы 6Continuation of table 6
-8 % интенсивности атаки, для абонентов всех категорий.for subscribers of the 1st category -7% attack power; for subscribers of category 2 -3% attack power;
-8% attack intensity, for subscribers of all categories.
Расчет вероятности предоставления y-й УС (
где
где A - количество абонентов узлов СС, I - количество категорий абонентов, Y - количество УС предоставляемых абонентам I-й категорииwhere A is the number of subscribers of the SS nodes, I is the number of categories of subscribers, Y is the number of DC provided to subscribers of the I category
Таблица 7Table 7
Продолжение таблицы 7Continuation of table 7
Расчет коэффициента эффективной мощности атаки (
Таблица 8Table 8
Продолжение таблицы 8 Continuation of table 8
Коэффициент быстродействия системы идентификации j-го злоумышленника:The coefficient of performance of the identification system of the j-th attacker:
где
Коэффициент контраста (
где
Коэффициент контраста i-й характеристики узлов СС:Contrast coefficient of the i-th characteristic of the nodes of the SS:
где
Расчет коэффициента способности системы защиты узлов
СС противодействовать DDoS-атаке (
SS counteract DDoS attack (
Вероятность подавления DDoS-атакой j-го злоумышленника i-го узла сети связи:The probability of suppressing a j-th attacker of the i-th node of a communication network by a DDoS attack:
где
Коэффициент эффективной мощности атаки j-го злоумышленника на
узлы СС:The effective power factor of the attack of the jth attacker on
SS nodes:
где
Коэффициент способности системы защиты узлов СС противодействовать DDoS-атаке:The coefficient of the ability of the SS node protection system to counteract a DDoS attack:
где
С учетом того, что в конкретный момент времени может функционировать различное количество узлов, входящих в состав сети связи, соответственно сеть связи будет считаться подавленной только после того как были подавлены не менее 80 % всех узлов СС.Considering the fact that at a given moment in time a different number of nodes that are part of a communication network can function, respectively, a communication network will be considered suppressed only after at least 80% of all SS nodes have been suppressed.
Статистическая оценка вероятности подавления сети связи:Statistical estimate of the likelihood of jamming a communications network:
где
Оценка способности узлов СС предоставлять УС абонентам, проводилась путем сравнение времени предоставление УС абонентам
узлов СС со временем наступления отказа в обслуживании вызванного DDoS-атакой согласно выражений 30-32. Результаты сравнения представлены в таблице 9.Assessing the ability of SS nodes to provide CSS to subscribers was carried out by comparing the time of providing CSS to subscribers
SS nodes with a denial of service time caused by a DDoS attack according to expressions 30-32. The comparison results are presented in table 9.
Таблица 9Table 9
Продолжение таблицы 9Continuation of table 9
Результаты оценки показывают, что узел сети связи не способен предоставить требуемое количество УС абонентам 1, 2 категории. Для обеспечения требуемого количества УС абонентам производится оценка не активированных способов противодействия, ослабить деструктивное воздействие. Результаты оценки представлены в таблицах 10-14.The evaluation results show that the communication network node is not able to provide the required number of fixed-line telephones to
Таблица 10Table 10
Таблица 11Table 11
Таблица 12Table 12
Таблица 13Table 13
Таблица 14Table 14
Продолжение таблицы 14Continuation of table 14
На основании полученных данных (табл. 10-14), следует вывод, что за счет применения указанного подпроцесса время наступления отказа в обслуживании вызванного DDoS-атаками, увеличено на 12,2-16,1 %, количество предоставляемых услуг связи абонентам узлов СС в условиях DDoS-атак, за счет своевременного и обоснованного применения вариантов и способов противодействия DDoS-атакам увеличено в 1,6 раза.Based on the obtained data (Table 10-14), it follows that, due to the use of this subprocess, the time of denial of service caused by DDoS attacks is increased by 12.2-16.1%, the number of communication services provided to subscribers of SS nodes in conditions of DDoS attacks, due to the timely and reasonable use of options and methods to counter DDoS attacks increased by 1.6 times.
Claims (2)
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
RU2018105350A RU2682108C1 (en) | 2018-02-13 | 2018-02-13 | Method of using options of countermeasure of network and stream computer intelligence and network attacks and system therefor |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
RU2018105350A RU2682108C1 (en) | 2018-02-13 | 2018-02-13 | Method of using options of countermeasure of network and stream computer intelligence and network attacks and system therefor |
Publications (1)
Publication Number | Publication Date |
---|---|
RU2682108C1 true RU2682108C1 (en) | 2019-03-14 |
Family
ID=65805752
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
RU2018105350A RU2682108C1 (en) | 2018-02-13 | 2018-02-13 | Method of using options of countermeasure of network and stream computer intelligence and network attacks and system therefor |
Country Status (1)
Country | Link |
---|---|
RU (1) | RU2682108C1 (en) |
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
RU196794U1 (en) * | 2019-12-23 | 2020-03-16 | Федеральное государственное казенное военное образовательное учреждение высшего образования Академия Федеральной службы охраны Российской Федерации | NETWORK AND STREAM COMPUTER EXPLORATION MODELING SYSTEM |
RU2728763C1 (en) * | 2019-07-26 | 2020-07-31 | Федеральное государственное казенное военное образовательное учреждение высшего образования Академия Федеральной службы охраны Российской Федерации | Adaptive information and technical monitoring system |
RU2731467C1 (en) * | 2019-11-06 | 2020-09-03 | Федеральное государственное казенное военное образовательное учреждение высшего образования Академия Федеральной службы охраны Российской Федерации | Method for early detection of destructive effects of botnet on a communication network |
RU202382U1 (en) * | 2020-07-22 | 2021-02-15 | Федеральное государственное казенное военное образовательное учреждение высшего образования Академия Федеральной службы охраны Российской Федерации | DEVICE FOR SIMULATING COMPUTER ATTACKS TYPE "DISTRIBUTED DENIAL OF SERVICE" |
RU2792926C2 (en) * | 2020-07-22 | 2023-03-28 | Федеральное государственное казенное военное образовательное учреждение высшего образования "Академия Федеральной службы охраны Российской Федерации" (Академия ФСО России) | System for early detection of information and technical impacts on computer network nodes carried out using botnet |
WO2024091142A1 (en) * | 2022-10-25 | 2024-05-02 | Андрей Сергеевич Антипинский | Method for identifying normal responses of computer network nodes to network packets related to unknown traffic |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
RU2216043C2 (en) * | 2000-09-12 | 2003-11-10 | Лузянин Виталий Петрович | Method and system for generating decisions |
RU2345492C2 (en) * | 2006-12-06 | 2009-01-27 | Государственное образовательное учреждение высшего профессионального образования Академия Федеральной службы охраны Российской Федерации (Академия ФСО России) | Telecommunication facility diagnostics procedure |
RU2487409C2 (en) * | 2011-02-17 | 2013-07-10 | Федеральное государственное военное образовательное учреждение высшего профессионального образования "Военный авиационный инженерный университет" (г. Воронеж) Министерства обороны Российской Федерации | Method of generating solutions to problems of developing automated control system and system for realising said method |
RU2612275C1 (en) * | 2015-12-09 | 2017-03-06 | Федеральное государственное казенное военное образовательное учреждение высшего образования "Академия Федеральной службы охраны Российской Федерации" (Академия ФСО России) | Method for monitoring of communication networks in conditions of conducting network reconnaissance and information and technical actions |
RU2636640C2 (en) * | 2016-03-11 | 2017-11-27 | Федеральное государственное казенное военное образовательное учреждение высшего образования "Академия Федеральной службы охраны Российской Федерации" (Академия ФСО России) | Protection method of virtual private communication networks elements from ddos-attacks |
-
2018
- 2018-02-13 RU RU2018105350A patent/RU2682108C1/en not_active IP Right Cessation
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
RU2216043C2 (en) * | 2000-09-12 | 2003-11-10 | Лузянин Виталий Петрович | Method and system for generating decisions |
RU2345492C2 (en) * | 2006-12-06 | 2009-01-27 | Государственное образовательное учреждение высшего профессионального образования Академия Федеральной службы охраны Российской Федерации (Академия ФСО России) | Telecommunication facility diagnostics procedure |
RU2487409C2 (en) * | 2011-02-17 | 2013-07-10 | Федеральное государственное военное образовательное учреждение высшего профессионального образования "Военный авиационный инженерный университет" (г. Воронеж) Министерства обороны Российской Федерации | Method of generating solutions to problems of developing automated control system and system for realising said method |
RU2612275C1 (en) * | 2015-12-09 | 2017-03-06 | Федеральное государственное казенное военное образовательное учреждение высшего образования "Академия Федеральной службы охраны Российской Федерации" (Академия ФСО России) | Method for monitoring of communication networks in conditions of conducting network reconnaissance and information and technical actions |
RU2636640C2 (en) * | 2016-03-11 | 2017-11-27 | Федеральное государственное казенное военное образовательное учреждение высшего образования "Академия Федеральной службы охраны Российской Федерации" (Академия ФСО России) | Protection method of virtual private communication networks elements from ddos-attacks |
Cited By (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
RU2728763C1 (en) * | 2019-07-26 | 2020-07-31 | Федеральное государственное казенное военное образовательное учреждение высшего образования Академия Федеральной службы охраны Российской Федерации | Adaptive information and technical monitoring system |
RU2731467C1 (en) * | 2019-11-06 | 2020-09-03 | Федеральное государственное казенное военное образовательное учреждение высшего образования Академия Федеральной службы охраны Российской Федерации | Method for early detection of destructive effects of botnet on a communication network |
RU196794U1 (en) * | 2019-12-23 | 2020-03-16 | Федеральное государственное казенное военное образовательное учреждение высшего образования Академия Федеральной службы охраны Российской Федерации | NETWORK AND STREAM COMPUTER EXPLORATION MODELING SYSTEM |
RU202382U1 (en) * | 2020-07-22 | 2021-02-15 | Федеральное государственное казенное военное образовательное учреждение высшего образования Академия Федеральной службы охраны Российской Федерации | DEVICE FOR SIMULATING COMPUTER ATTACKS TYPE "DISTRIBUTED DENIAL OF SERVICE" |
RU2792926C2 (en) * | 2020-07-22 | 2023-03-28 | Федеральное государственное казенное военное образовательное учреждение высшего образования "Академия Федеральной службы охраны Российской Федерации" (Академия ФСО России) | System for early detection of information and technical impacts on computer network nodes carried out using botnet |
RU2802164C1 (en) * | 2022-10-25 | 2023-08-22 | Общество с ограниченной ответственностью "Сайберлимфа" | Method for detecting normal reactions of computer network nodes to network packets related to unknown traffic |
WO2024091142A1 (en) * | 2022-10-25 | 2024-05-02 | Андрей Сергеевич Антипинский | Method for identifying normal responses of computer network nodes to network packets related to unknown traffic |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
RU2682108C1 (en) | Method of using options of countermeasure of network and stream computer intelligence and network attacks and system therefor | |
Nespoli et al. | Optimal countermeasures selection against cyber attacks: A comprehensive survey on reaction frameworks | |
Abubakar et al. | Machine learning based intrusion detection system for software defined networks | |
US20210288995A1 (en) | Operational Network Risk Mitigation System And Method | |
US20210133331A1 (en) | Cyber risk minimization through quantitative analysis of aggregate control efficacy | |
Husain et al. | Development of an efficient network intrusion detection model using extreme gradient boosting (XGBoost) on the UNSW-NB15 dataset | |
Gebremariam et al. | Applications of artificial intelligence and machine learning in the area of SDN and NFV: A survey | |
CN110149343A (en) | A kind of abnormal communications and liaison behavioral value method and system based on stream | |
Wang et al. | An adversary-centric behavior modeling of DDoS attacks | |
Chen et al. | Optimising IDS sensor placement | |
Berenjian et al. | Intelligent automated intrusion response system based on fuzzy decision making and risk assessment | |
Mani et al. | A new intrusion detection and prevention system using a hybrid deep neural network in cloud environment | |
Muhati et al. | Hidden-Markov-model-enabled prediction and visualization of cyber agility in IoT era | |
Dasari et al. | Anomaly-based network intrusion detection with ensemble classifiers and meta-heuristic scale (ECMHS) in traffic flow streams | |
Alhammadi et al. | Recent Trends on Sophisticated types of Flooding Attacks and Detection Methods based on Multi Sensors Fusion Data for Cloud Computing Systems | |
Subramani et al. | Comprehensive review on distributed denial of service attacks in wireless sensor networks | |
CN117834284A (en) | Network security test evaluation method | |
RU2612275C1 (en) | Method for monitoring of communication networks in conditions of conducting network reconnaissance and information and technical actions | |
Melo et al. | A novel immune detection approach enhanced by attack graph based correlation | |
Chyssler et al. | Alarm reduction and correlation in defence of ip networks | |
Karthika et al. | Review on distributed denial of service attack detection in software defined network | |
Hwoij et al. | Detecting Network Anomalies using Rule-based machine learning within SNMP-MIB dataset | |
Muhati et al. | Adversarial Machine Learning for Inferring Augmented Cyber Agility Prediction | |
Ponnusamy et al. | Investigation on iot intrusion detection in wireless environment | |
Ghorbani et al. | Configuration strategies for collaborative IDS using game theory |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
MM4A | The patent is invalid due to non-payment of fees |
Effective date: 20200214 |