RU2690749C1 - Способ защиты вычислительных сетей - Google Patents

Способ защиты вычислительных сетей Download PDF

Info

Publication number
RU2690749C1
RU2690749C1 RU2018118912A RU2018118912A RU2690749C1 RU 2690749 C1 RU2690749 C1 RU 2690749C1 RU 2018118912 A RU2018118912 A RU 2018118912A RU 2018118912 A RU2018118912 A RU 2018118912A RU 2690749 C1 RU2690749 C1 RU 2690749C1
Authority
RU
Russia
Prior art keywords
addresses
network
mac
address
computer network
Prior art date
Application number
RU2018118912A
Other languages
English (en)
Inventor
Алексей Леонидович Гаврилов
Сергей Леонидович Катунцев
Роман Викторович Максимов
Дмитрий Николаевич Орехов
Евгений Сергеевич Маленков
Николай Евгеньевич Платов
Сергей Петрович Соколовский
Алексей Игоревич Шаманов
Original Assignee
федеральное государственное казенное военное образовательное учреждение высшего образования "Краснодарское высшее военное училище имени генерала армии С.М. Штеменко" Министерства обороны Российской Федерации
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by федеральное государственное казенное военное образовательное учреждение высшего образования "Краснодарское высшее военное училище имени генерала армии С.М. Штеменко" Министерства обороны Российской Федерации filed Critical федеральное государственное казенное военное образовательное учреждение высшего образования "Краснодарское высшее военное училище имени генерала армии С.М. Штеменко" Министерства обороны Российской Федерации
Priority to RU2018118912A priority Critical patent/RU2690749C1/ru
Application granted granted Critical
Publication of RU2690749C1 publication Critical patent/RU2690749C1/ru

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/602Providing cryptographic facilities or services
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computing Systems (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

Изобретение относится к вычислительной технике. Технический результат - повышение результативности защиты и введение в заблуждение нарушителя относительно структуры вычислительной сети, за счет снижения вероятности обнаружения нарушителем факта использования средств защиты и идентификации их характеристик, достигаемых путем разделения адресного пространства вычислительной сети на области, обеспечивающие реалистичность функционирования защищаемой вычислительной сети, а также путем формирования множества частично случайных значений MAC-адресов, соответствующих ложным узлам вычислительной сети. Способ защиты вычислительных сетей предназначен для использования в системах обнаружения атак с целью оперативного выявления и противодействия несанкционированным воздействиям в вычислительных сетях, в частности в сети передачи данных типа «Internet», основанных на семействе коммуникационных протоколов TCP/IP, заключается в том, что устраняют следующие демаскирующие признаки средств защиты вычислительных сетей: активность любого IP-адреса из диапазона IP-адресов вычислительной сети, а также использование единственного и неизменяемого значения (00:00:0F:FF:FF:FF)MAC-адреса независимо от реального адреса сетевого адаптера при ответах на ARP-запросы к i-ому неиспользуемому IP-адресу сетевого устройства вычислительной сети. 1 з.п. ф-лы, 7 ил.

Description

Изобретение относится к электросвязи и может быть использовано в системах обнаружения атак с целью оперативного выявления и противодействия несанкционированным воздействиям в вычислительных сетях, в частности, в сети передачи данных типа «Intcrnet», основанных на семействе коммуникационных протоколов TCP/IP {Transmission Control Protocol / Internet Protocol) и описанных в книге Олифер В., Олифер Н. Компьютерные Сети. Принципы, технологии, протоколы: Учебник для вузов. 5-е изд. - СПб.: Питер, 2016. - 992 с.: ил.
Известен «Способ защиты вычислительной сети» по патенту РФ №2422892, класс G06F 21/20 (2006.01), заявл. 13.04.2010. Известный способ включает следующую последовательность действий. Устанавливают в каналах связи защищаемой вычислительной сети шлюз-компьютер с межсетевым экраном. Формируют базу параметров легитимных пакетов и блокируют поступающие из открытой сети пакеты на период установления легитимности. Запоминают адрес получателя, анализируют поступающие из открытой сети пакеты, для чего сравнивают их параметры с заранее сформированной базой параметров легитимных пакетов. После завершения анализа формируют ICMP квитанцию, в которой адрес отправителя заменяют на ранее запомненный адрес получателя. Отправляют ее нелегитимному отправителю.
Недостатком данного способа является относительно низкая защищенность от несанкционированных воздействий, признаками наличия которых являются несанкционированные информационные потоки (ИП). Это обусловлено тем, ч то при определении факта наличия несанкционированного ИП в вычислительных сетях блокируется передача пакета сообщений, что является недостаточным для защиты вычислительных сетей от несанкционированных воздействий. Реализация указанного подхода к защите вынуждает нарушителя далее воздействовать на вычислительные сети и (или) менять стратегию воздействия.
Известен «Способ (варианты) защиты вычислительных сетей» по патенту РФ №2307392, класс G06F 21/00, опубл. 27.09.2007. Известный способ включает следующую последовательность действий. Предварительно задают N≥1 опорных идентификаторов санкционированных ИП, содержащих адреса отправителей и получателей пакетов сообщений, принимают из канала связи пакет сообщений, выделяют из заголовка принятого пакета сообщений идентификатор ИП, сравнивают выделенный идентификатор с предварительно заданными опорными идентификаторами
санкционированных ИП и при их совпадении передают пакет сообщений получателю, а при их несовпадении сравнивают адрес отправителя, указанный в идентификаторе принятого пакета сообщений с адресами отправителей, указанными в опорных идентификаторах санкционированных ИП, задают Р≥1 ложных адресов абонентов вычислительной сети и время задержки отправки пакетов сообщений tзад. В случае совпадения адреса отправителя в принятом пакете сообщений с одним из адресов отправителей опорных идентификаторов санкционированных ИП сравнивают адрес получателя в принятом пакете сообщений с адресами получателей опорных идентификаторов санкционированных ИП. При несовпадении адреса получателя в принятом пакете сообщений с адресами получателей опорных идентификаторов санкционированных ИП дополнительно сравнивают адрес получателя в принятом пакете сообщений с предварительно заданными ложными адресами абонентов вычислительной сети. В случае несовпадения адреса получателя в принятом пакете сообщений с предварительно заданными ложными адресами абонентов блокируют передачу пакета сообщений. А при несовпадении адреса отправителя в принятом пакете сообщений с одним из адресов отправителей опорных идентификаторов санкционированных ИП или совпадении адреса получателя в принятом пакете сообщений с адресами получателей опорных идентификаторов санкционированных ИП, или его совпадении с предварительно заданными ложными адресами абонентов вычислительной сети формируют ответный пакет сообщений, а затем, через заданное время задержки отправки пакетов сообщений tзад снижают скорость передачи сформированного пакета сообщений. Передают его отправителю, после чего принимают из канала связи очередной пакет сообщений. Для идентификации протокола взаимодействия выделяют идентификатор типа протокола взаимодействия и сравнивают его с эталонами идентификаторов типа протокола взаимодействия. Для снижения скорости передачи сформированного пакета сообщений фрагментируют пакет сообщений, передают пакет сообщений через заданное время задержки отправки пакетов сообщений tзад.
Недостатками данного способа являются относительно низкая результативность защиты вычислительных сетей и узкая область применения способа защиты. Низкая результативность защиты обусловлена тем, что в прототипе увеличение интенсивности несанкционированных информационных потоков и сохранение заданного времени задержки отправки ответных пакетов сообщений отправителю приведет к перегрузке вычислительной сети. Узкая область применения обусловлена тем, что для реализации способа защиты скорость информационного обмена с отправителем несанкционированных информационных потоков снижают только со стороны вычислительной сети, то есть в одностороннем порядке, и не учитывают возможность отправителя разорвать соединение.
Наиболее близким по своей технической сущности к заявленному, является способ защиты вычислительных сетей, описанный, например, в книге Grimes, R.A. Honeypots for Windows // Apress. 2005. 424 p. на стр. 191-192. Известный способ включает следующую последовательность действий. Подключают сетевые устройства к вычислительной сети. После приема ARP-запросов (от англ. Address Resolution Protocol - протокол определения адреса) к i-ому неиспользуемому IP-адресу сетевого устройства вычислительной сети формируют ответный пакет сообщений с единственным и неизменяемым значением (00:00:0F:FF:FF:FF)16 (в шестнадцатеричной системе счисления) MAC-адреса (от англ. Media Access Control - управление доступом к среде). Затем записывают в поле «размер окна» TCP-заголовка ответного пакета сообщений значение Wнач равное 10 байт и принимают очередной пакет сообщений. Формируют ответный пакет сообщений и устанавливают в поле «размер окна» TCP-заголовка ответного пакета сообщений значение Wуд равное 0 байт. После этого направляют отправителю сформированные ответные пакеты сообщений, а для блокирования попыток разорвать соединение со стороны отправителя пакетов сообщений игнорируют все входящие пакеты сообщений до истечения тайм-аута соединения.
Известный способ-прототип обеспечивает более высокую защищенность вычислительных сетей от несанкционированных воздействий по сравнению с аналогами за счет введения в заблуждение нарушителя относительно структуры вычислительных сетей путем имитации доступности всего массива IP-адресов вычислительной сети, обеспечивая тем самым максимальную вероятность перенаправления нарушителя на ресурс-ловушку, и за счет удержания в двухстороннем порядке соединения с отправителем пакетов сообщений, обеспечивая тем самым увеличение дискомфорта у нарушителя и выигрыш по времени, необходимый для реализации ответных мер.
Недостатком способа-прототипа является относительно низкая результативность защиты, обусловленная высокой вероятностью обнаружения нарушителем факта использования средств защиты вычислительной сети и идентификации их характеристик. Это связано с тем, что в прототипе, при обращении к любому IP-адресу из диапазона IP-адресов вычислительной сети, нарушитель всегда получает ответ о доступности IP-адреса, что демаскирует наличие и возможности средств защиты. Кроме того, при ответах на ARP-запросы к i-ому неиспользуемому IP-адресу сетевого устройства вычислительной сети в прототипе используют единственное и неизменяемое значение (00:00:0F:FF:FF:FF)16 (в шестнадцатеричной системе счисления) MAC-адреса независимо от реального адреса сетевого адаптера, что позволяет злоумышленнику идентифицировать ложные узлы путем изучения адресов канального уровня.
Целью заявленного технического решения является разработка способа защиты вычислительных сетей, обеспечивающего повышение результативности защиты и введение в заблуждение нарушителя относительно структуры вычислительной сети, за счет снижения вероятности обнаружения нарушителем факта использования средств защиты и идентификации их характеристик, достигаемых путем разделения адресного пространства вычислительной сети на области, обеспечивающие реалистичность функционирования защищаемой вычислительной сети, а также путем формирования множества случайных значений MAC-адресов, соответствующих ложным узлам вычислительной сети.
Поставленная цель достигается тем, что в известном способе защиты вычислительных сетей подключают сетевые устройства к вычислительной сети и после приема, ARP-запросов к i-ому неиспользуемому IP-адресу сетевого устройства вычислительной сети формируют ответный пакет сообщений. Затем записывают в поле «размер окна» TCP-заголовка ответного пакета сообщений значение Wнач равное 10 байт. После этого принимают очередной пакет сообщений и формируют ответный пакет сообщений. Далее устанавливают в поле «размер окна» TCP-заголовка ответного пакета сообщений значение Wуд равное 0 байт и направляют отправителю сформированные ответные пакеты сообщений. Для блокирования попыток разорвать соединение со стороны отправителя пакетов сообщений игнорируют все входящие пакеты сообщений до истечения тайм-аута соединения. В предварительно заданные исходные данные дополнительно задают множество {MIP} всех i IP-адресов сетевых устройств вычислительной сети, где i=1, 2, …, n, а n - максимально допустимое значение диапазона IP-адресов для вычислительной сети, множество {AIP} разрешенных для использования в вычислительной сети IP-адресов сетевых устройств, где {AIP}∈{MIP}, множество {DIP} запрещенных для использования в вычислительной сети IP-адресов сетевых устройств, где
Figure 00000001
, множество {UIP} разрешенных и временно неподключенных IP-адресов сетевых устройств в вычислительной сети из множества {AIP} и множество {RIP} разрешенных и подключенных IP-адресов сетевых устройств в вычислительной сети из множества {AIP}, где
Figure 00000002
и
Figure 00000003
. Затем предварительно задают массив памяти SMAC для хранения считанных MAC-адресов сетевых устройств в вычислительной сети, массив памяти GMAC для хранения сформированных MAC-адресов и массив памяти AG для хранения матрицы соответствия i-му разрешенному для использования в вычислительной сети IP-адресу сетевого устройства из множества {AIP} j-го сформированного MAC-адреса из массива памяти GMAC, а также массив памяти
Figure 00000004
для хранения множества значений первых трех октетов МАС-адресов сетевых устройств вычислительной сети, содержащих информацию об их производителях, где Z - количество производителей сетевых устройств. После подключения сетевых устройств к вычислительной сети запоминают IP-адреса временно неподключенных сетевых устройств в множество {UIP}. Считывают МАС-адреса подключенных сетевых устройств вычислительной сети и запоминают их в массиве памяти SMAC. После этого запоминают множество значений первых трех октетов MAC-адресов сетевых устройств вычислительной сети, в массиве памяти MV. Далее для формирования каждого j-го, где j=1, 2, …, J, случайного значения MAC-адреса временно неподключенного сетевого устройства вычислительной сети выбирают случайно из массива памяти MV его z-e значение, затем для формирования вторых трех октетов MAC-адреса генерируют случайную последовательность из трех октетов шестнадцатеричных чисел, и запоминают сформированное таким образом j-е значение MAC-адреса из шести октетов в массиве памяти GMAC и сравнивают сформированные J значений МАС-адресов временно неподключенных сетевых устройств вычислительной сети из массива памяти GMAC с МАС-адресами временно неподключенных сетевых устройств вычислительной сети из массива памяти SMAC. По результатам сравнения, в случае их совпадения, j-й MAC-адрес удаляют из массива памяти GMAC, а в противном случае, то есть при их несовпадении, запоминают в массиве памяти AG соответствие i-му разрешенному для использования в вычислительной сети IP-адресу сетевого устройства из множества {AIP} j-го сформированного MAC-адреса из массива памяти GMAC. После этого принимают ARP-запрос к любому z-му IP-адресу сетевого устройства из множества {MIP} и сравнивают IP-адрес получателя ARP-запроса с IP-адресами сетевых устройств из множества {DIP} запрещенных для использования в вычислительной сети IP-адресов сетевых устройств. По результатам сравнения, в случае совпадения IP-адреса получателя ARP-запроса с IP-адресами из множества {DIP} запрещенных для использования в вычислительной сети IP-адресов сетевых устройств, игнорируют ARP-запрос. В противном случае, то есть при. несовпадении IP-адреса получателя ARP-запроса с IP-адресами из множества {DIP}, сравнивают IP-адрес получателя ARP-запроса с IP-адресами сетевых устройств из множества {RIP} разрешенных и подключенных IP-адресов сетевых устройств, и по результатам сравнения в случае совпадения IP-адреса получателя ARP-запроса с IP-адресами из множества {RIP} разрешенных и подключенных IP-адресов формируют сообщение о доступности узла получателя пакетов сообщений. В противном случае, то есть при несовпадении IP-адреса получателя ARP-запроса с IP-адресами из множества {RIP}, сравнивают IP-адрес получателя ARP-запроса с IP-адресами сетевых устройств из множества {UIP} временно неподключенных IP-адресов, и по результатам сравнения в случае несовпадения IP-адреса получателя ARP-запроса с IP-адресами из множества {UIP} временно неподключенных IP-адресов формируют сообщение о доступности узла получателя пакетов сообщений. В противном случае, то есть при совпадении IP-адреса получателя ARP-запроса с IP-адресами из множества {UIP}, после формирования ответного пакета сообщений и записывания в поле «размер окна» TCP-заголовка ответного пакета сообщений значения Wнач равное 10 байт, записывают в заголовок ответного пакета j-й сформированный МА С-адрес для i-го IP-адреса из массива памяти GMAC. После этого направляют отправителю ответный пакет сообщений со значением j-го сформированного МАС-адреса для i-го IP-адреса из массива памяти GMAC.
Запоминание в массиве памяти AG соответствия i-му разрешенному для использования в вычислительной сети IP-адресу сетевого устройства из множества {AIP} j-го сформированного MAC-адреса из массива памяти GMAC осуществляют путем записи в ячейку ⎜i,j| массива памяти AG логической единицы.
Благодаря новой совокупности существенных признаков в заявленном способе обеспечивается повышение результативности защиты и введение в заблуждение нарушителя относительно структуры вычислительной сети за счет снижения вероятности обнаружения нарушителем факта использования и идентификации характеристик средств защиты, достигаемых путем разделения адресного пространства вычислительной сети на области, обеспечивающие реалистичность функционирования защищаемой вычислительной сети, а также путем формирования множества случайных значений MAC-адресов, соответствующих ложным узлам вычислительной сети.
Заявленные объекты изобретения поясняются чертежами, на которых показаны:
фиг. 1 - формат дейтаграммы ARP;
фиг. 2 - пример, иллюстрирующий защиту вычислительной сети с применением сетевой «ловушки» до и после разделения адресного пространства;
фиг. 3 - графическая интерпретация разделения адресного пространства вычислительной сети;
фиг. 4 - блок-схема последовательности действий, реализующих заявленный способ защиты вычислительных сетей;
фиг. 5 - фрагмент базы данных с уникальными идентификаторами производителей сетевых устройств;
фиг. 6 - иллюстрация использования единственного и неизменяемого значения (00:00:0F:FF:FF:FF)16 MAC-адреса;
фиг. 7 - иллюстрация использования в способе защиты множества сформированных значений MAC-адресов.
Реализация заявленного способа объясняется следующим образом. Известно, что в настоящее время достаточно большое количество компьютерных атак носит разведывательный характер с целью получения информации о топологии вычислительной сети, являющейся объектом атаки, а также об используемых средствах защиты вычислительной сети. Одними из средств сетевой защиты, функционирующих с применением обманных сетевых стратегий, направленных на создание у нарушителя иллюзий уязвимых целей или способствующих видимости более сложной инфраструктуры, чем существует на самом деле, являются сетевые «приманки» (honeypots), описанные, например, в книге Provos, N., Holz, Т, Virtual Honeypots: From Botnet Tracking to Intrusion Detection // Addison Wesley, 2007. 480 p.Более совершенные способы сетевого обмана включают в себя не только предоставление противнику правдоподобной цели, но и, так называемые проактивные меры защиты, такие как, например, удержание в двухстороннем порядке соединения с отправителем пакетов сообщений, что вызывает «истощение» ресурсов отправителя пакетов сообщений для поддержания состояния соединения, замедляет процесс автоматического сканирования атакуемой вычислительной сети и, как результат, накладывает ограничение на используемый нарушителем вычислительный ресурс, что приводит к невозможности осуществлять сетевой информационный обмен. Рассмотренные способы проактивной защиты реализованы в виде инструментальных средств сетевого обмана, так называемых сетевых «ловушек» (network tarpits), которые описаны, например, в книге Andres, S., Kenyon, В. Birkolz, Е. Security Sage's Guide to Hardening the Network Infrastructure // Sungress Publishing, 2004. 608 p., на стр. 414-416.
В свою очередь, нарушителями информационной безопасности также активно разрабатываются и совершенствуются средства снижения результативности сетевых «ловушек», реализующие следующие способы их компрометации: детектирование уникальных идентификаторов (демаскирующих признаков) сетевых «ловушек»; детальный анализ сетевого трафика поступающего с сетевых «ловушек». Такими демаскирующими признаками сетевой «ловушки», реализованной в способе-прототипе, являются активность любого IP-адреса из диапазона IP-адресов вычислительной сети, а также использование единственного и неизменяемого значения (00:00:0F:FF:FF:FF)16 (в шестнадцатеричной системе счисления) МАС-адреса независимо от реального адреса сетевого адаптера при ответах на ARP-запросы к i-ому неиспользуемому IP-адресу сетевого устройства вычислительной сети. Протокол разрешения адресов ARP (Address Resolution Protocol) предназначен для определения адреса канального уровня по известному адресу сетевого уровня и описан, например, в технических спецификациях (RFC, Request for Comments) сети Интернет (см., например, https://tools.ietf.org/html/rfc826). Формат дейтаграммы АКР представлен на фиг. 1. В локальных сетях протокол ARP использует широковещательные кадры протокола канального уровня для поиска в сети узла с заданным IP-адресом. Узел, которому нужно разрешить отображение (соответствие) IP-адреса на локальный (физический) адрес, формирует ARP-запрос, инкапсулирует его в кадр протокола канального уровня, указывая в нем известный IP-адрес, и рассылает запрос широковещательно. Все узлы локальной сети получают ARP-запрос и сравнивают указанный там IP-адрес с собственным. В случае их совпадения узел формирует ARP-ответ, в котором указывает свой IP-адрес и свой локальный адрес и посылает его уже направленно, так как в ARP-запросе отправитель указывает свой локальный адрес.
В качестве средств компрометации сетевых «ловушек», использующих обнаружение активных IP-адресов в помощью ARP-запросов нарушителем применяются различные утилиты (nmap, ethereal, arping, tethreal и др.), предназначенные для анализа сетевого трафика и топологии вычислительной сети, описанные, например, в книге Андрончик А.Н., Богданов В.В., Домуховский Н.А., Коллеров А.С., Синадский Н.И., Хорьков Д.А., Щербаков М.Ю. Защита информации в компьютерных сетях. Практический курс: учебное пособие / А.Н. Андрончик, В.В. Богданов, Н.А. Домуховский и др.; под редакцией Н.И. Синадского. - Екатеринбург: УГТУ-УПИ, 2008. - 248 с.
Таким образом, возникает противоречие между результативностью защиты вычислительных сетей и возможностями нарушителей по определению структуры вычислительных сетей и идентификации характеристик средств защиты, имеющих демаскирующие признаки. На устранение указанного противоречия направлен заявленный способ.
Заявленный способ реализуют следующим образом. В общем случае (фиг. 2а) вычислительная сеть представляет собой совокупность корреспондентов 1, 2, 6, 7, являющихся источниками и получателями сетевого трафика, периферийного и коммуникационного оборудования 4, 9, ретранслирующего сетевой трафик корреспондентов, объединенного физическими линиями (каналами) связи 3, 10, соединяющих n узлов вычислительной сети в единую инфраструктуру, в том числе с использованием сети передачи данных типа «Internet» 5. При этом пространство IP-адресов сетевых устройств занято корреспондентами вычислительной сети не полностью: корреспонденты K1, K2, K3, выделенные на фиг. 2а в совокупность 1, подключены к вычислительной сети. Тогда как корреспонденты K4, K5, … Kn, выделенные на фиг. 2а в совокупность 2 (иконки ПЭВМ на фиг. 2а изображены пунктиром), не подключены к вычислительной сети, то есть IP-адреса корреспондентами K4, K5, … Kn не заняты (не используются).
Для защиты вычислительной сети и введения в заблуждение нарушителя относительно структуры вычислительной сети, на одном из выделенных компьютеров 7 вычислительной сети устанавливают сетевую «ловушку», осуществляющую перехват ARP-запросов к i-ому неиспользуемому IP-адресу сетевого устройства 2 вычислительной сети, посредством анализатора пакетов 8. После перехват ARP-запросов осуществляют отправление пакета сообщений с ложным MAC-адресом отправителю пакетов сообщений и последующее удержание с ним соединения в двухстороннем порядке.
На фиг. 2б представлена вычислительная сеть с разделением адресного пространства на области, обеспечивающие реалистичность функционирования защищаемой вычислительной сети. На фиг. 3 представлена графическая интерпретация разделения адресного пространства вычислительной сети с использованием математических выражений, принятых в теории множеств. Разностью {R} множеств {А} и {U} называется операция, результатом которой является множество, состоящее из тех элементов, которые принадлежат {А} и не принадлежат {U} одновременно. То есть
Figure 00000005
, что и показано на фиг. 3.
На фиг. 4 представлена блок-схема последовательности действий, реализующих заявленный способ защиты вычислительных сетей, в которой приняты следующие обозначения:
{MIP} - множество всех i IP-адресов сетевых устройств вычислительной сети, где i=1, 2, …, n, а n - максимально допустимое значение диапазона IP-адресов для вычислительной сети;
{AIP} - множество разрешенных для использования в вычислительной сети IP-адресов сетевых устройств, где {AIP}∈{MIP};
{DIP} - множество запрещенных для использования в вычислительной сети IP-адресов сетевых устройств, где
Figure 00000006
;
{UIP} - множество разрешенных и временно неподключенных IP-адресов сетевых устройств в вычислительной сети из множества AIP, где
Figure 00000007
;
{RIP} - множество разрешенных и подключенных IP-адресов сетевых устройств в вычислительной сети из множества AIP, где
Figure 00000008
;
SMAC - массив памяти для хранения считанных MAC-адресов сетевых устройств в вычислительной сети;
GMAC - массив памяти для хранения сформированных MAC-адресов;
AG - массив памяти для хранения матрицы соответствия i-му разрешенному для использования в вычислительной сети IP-адресу сетевого устройства из массива AIP j-го сформированного МАС-адреса из массива памяти GMAC;
MV - массив памяти для хранения множества значений первых трех октетов MAC-адресов сетевых устройств вычислительной сети, содержащих информацию об их производителях,
Figure 00000009
, где Z - количество производителей сетевых устройств.
Для снижения вероятности обнаружения нарушителем факта использования и идентификации характеристик средств защиты, предварительно разделяют адресное пространство вычислительной сети (фиг. 2б) на множества 1 - разрешенных и подключенных IP-адресов сетевых устройств, 2 - разрешенных и временно неподключенных IP-адресов сетевых устройств, 3 - запрещенных для использования в вычислительной сети IP-адресов сетевых устройств, обеспечивающие реалистичность функционирования защищаемой вычислительной сети.
Для этого предварительно задают (см. блок 1 на фиг. 4) множество [MIP]={K1, K2, … Kn} всех i IP-адресов сетевых устройств вычислительной сети, где i=1, 2, …, n, а n - максимально допустимое значение диапазона IP-адресов для вычислительной сети.
В множестве {MIP} задают множество {AIP}={K1, K2, K3, K4, K5, K6} разрешенных для использования в вычислительной сети IP-адресов сетевых устройств, где {AIP}∈{MIP}.
Затем в множестве {MIP} задают множество {DIP}={K7, … Kn} запрещенных для использования в вычислительной сети IP-адресов сетевых устройств, где
Figure 00000010
.
После этого в множестве {MIP} задают множество {UIP}={K4, K5, K6} разрешенных и временно неподключенных IP-адресов сетевых устройств в вычислительной сети из множества {AIP}, где
Figure 00000011
.
Далее предварительно задают множество {RIP}={K1, K2, K3} разрешенных и подключенных IP-адресов сетевых устройств в вычислительной сети из множества {AIP}, где
Figure 00000012
.
Разделением таким образом адресного пространства вычислительной сети достигается реалистичность функционирования защищаемой вычислительной сети, что позволяет снизить вероятность обнаружения нарушителем факта использования средств защиты и с высокой степенью вероятности идентифицировать факт ведения сетевой разведки нарушителем, заключающийся в его обращении к IP-адресам временно неподключенных сетевых устройств {UIP}, а также снизить информативность демаскирующего признака сетевой «ловушки» (заключающегося в активности всего диапазона IP-адресов вычислительной сети) исключением из диапазона IP-адресов, обращения к которым перехватывают «ловушкой», множество IP-адресов {DIP}.
Для снижения вероятности идентификации характеристик средств защиты в заявленном способе обеспечивают уменьшение информативности демаскирующего признака сетевой «ловушки», заключающемся в использовании единственного и неизменяемого значения (00:00:0F:FF:FF:FF)16 MAC-адреса независимо от реального адреса сетевого адаптера, при ответах на ARP-запросы к i-ому неиспользуемому IP-адресу сетевого устройства вычислительной сети. Для этого применяют частично случайные значения MAC-адресов сетевых адаптеров.
Применение частично случайных значений МАС-адресов сетевых адаптеров достигают тем, что задают (см. блок 1 на фиг. 4) массив памяти SMAC для хранения считанных МАС-адресов сетевых устройств в вычислительной сети, массив памяти GMAC для хранения сформированных МАС-адресов, массив памяти AG для хранения матрицы соответствия i-му разрешенному для использования в вычислительной сети IP-адресу сетевого устройства из множества {AIP} j-го сформированного MAC-адреса из массива памяти GMAC и массив памяти MV для хранения множества значений первых трех октетов МАС-адресов сетевых устройств вычислительной сети, содержащих информацию об их производителях.
Затем, после подключения сетевых устройств к вычислительной сети (см. блок 2 на фиг. 4), запоминают IP-адреса временно неподключенных сетевых устройств в множество {UIP} (см. блок 3 на фиг. 4). Считывают MAC-адреса подключенных сетевых устройств вычислительной сети (см. блок 4 на фиг. 4) и запоминают их (см. блок 5 на фиг. 4) в массиве памяти SMAC. Далее запоминают (см. блок 6 на фиг. 4) множество значений первых трех октетов МАС-адресов сетевых устройств вычислительной сети, в массиве памяти MV. Значения первых трех октетов МАС-адресов содержат информацию о производителях сетевых устройств вычислительной сети (фиг. 5), последующая запись значений которых в формируемые MAC-адреса обеспечивает наличие в защищаемой вычислительной сети устройств выполненных производителями характерными только для защищаемой вычислительной сети, что повышает реалистичность ее функционирования, это особенно актуально в случае, когда злоумышленник находится в одном сегменте сети с подключенными сетевыми устройствами.
Затем для формирования каждого j-го, где j=1, 2, …, J, случайного значения МА С-адреса временно неподключенного сетевого устройства вычислительной сети выбирают (см. блок 7 на фиг. 4) случайно из массива памяти MV его z-e значение и для формирования вторых трех октетов МАС-адреса генерируют (см. блок 8 на фиг. 4) случайную последовательность из трех октетов шестнадцатеричных чисел, например, как описано в книге Дональд Э. Кнут Случайные числа // Искусство программирования. 3 изд. - М.: Вильямс, 2000. Т. 2. Получисленные алгоритмы. - 832 с. После этого запоминают (см. блок 10 на фиг. 4) сформированное таким образом j-е значение МА С-адреса из шести октетов в массиве памяти GMAC и для исключения появления в вычислительной сети двух сетевых устройств с одинаковыми MAC-адресами, сравнивают (см. блок 11 на фиг. 4) сформированные J значений МА С-адресов временно неподключенных сетевых устройств вычислительной сети из массива памяти GMAC с МАС-адресами временно неподключенных сетевых устройств вычислительной сети из массива памяти SMAC. По результатам сравнения, в случае их совпадения, j-й МАС-адрес удаляют (см. блок 12 на фиг. 4) из массива памяти GMAC, а в противном случае, то есть при их несовпадении, запоминают (см. блок 13 на фиг. 4) в массиве памяти AG соответствие z-му разрешенному для использования в вычислительной сети IP-адресу сетевого устройства из множества {AIP} j-го сформированного МА С-адреса из массива памяти GMAC.
Далее принимают (см. блок 14 на фиг. 4) ARP-запрос к любому i-му IP-адресу сетевого устройства из множества {MIP} и сравнивают (см. блок 16 на фиг. 4) IP-адрес получателя ARP-запроса с IP-адресами сетевых устройств из множества {DIP} запрещенных для использования в вычислительной сети IP-адресов сетевых устройств. По результатам сравнения, в случае совпадения IP-адреса получателя ARP-запроса с IP-адресами из множества {DIP} запрещенных для использования в вычислительной сети IP-адресов сетевых устройств, игнорируют ARP-запрос (см. блок 15 на фиг. 4).
В противном случае, то есть при несовпадении IP-адреса получателя ARP-запроса с IP-адресами из множества {DIP}, сравнивают (см. блок 17 на фиг. 4) IP-адрес получателя ARP-запроса с IP-адресами сетевых устройств из множества {RIP} разрешенных и подключенных IP-адресов сетевых устройств, и по результатам сравнения в случае совпадения IP-адреса получателя ARP-запроса с IP-адресами из множества {RIP} разрешенных и подключенных IP-адресов формируют (см. блок 20 на фиг. 4) сообщение о доступности узла получателя пакетов сообщений, что соответствует обращению легитимного абонента к сетевому устройству вычислительной сети.
В противном случае, то есть при несовпадении IP-адреса получателя ARP-запроса с IP-адресами из множества {RIP}, сравнивают (см. блок 18 на фиг. 4) IP-адрес получателя ARP-запроса с IP-адресами сетевых устройств из множества {UIP} временно неподключенных IP-адресов, и по результатам сравнения в случае несовпадения IP-адреса получателя ARP-запроса с IP-адресами из множества {UIP} временно неподключенных IP-адресов формируют (см. блок 20 на фиг. 4) сообщение о доступности узла получателя пакетов сообщений.
В противном случае, то есть при совпадении IP-адреса получателя ARP-запроса с IP-адресами из множества {UIP}, после формирования (см. блок 19 на фиг. 4) ответного пакета сообщений и записывания (см. блок 21 на фиг. 4) в поле «размер окна» TCP-заголовка ответного пакета сообщений значения Wнач равное 10 байт, записывают (см. блок 22 на фиг. 4) в заголовок ответного пакета j-й сформированный МА С-адрес для j-го IP-адреса из массива памяти GMAC. После этого направляют (см. блок 23 на фиг. 4) отправителю ответный пакет сообщений со значением j-го сформированного МАС-адреса для i-го IP-адреса из массива памяти GMAC.
Затем принимают (см. блок 24 на фиг. 4) очередной пакет сообщений и устанавливают (см. блок 25 на фиг. 4) в поле «размер окна» заголовка ответного пакета Wуд=0, после чего формируют (см. блок 26 на фиг. 4) ответные пакеты с Wуд=0 и направляют (см. блок 27 на фиг. 4) отправителю ответные пакеты с Wуд=0. Для блокирования попыток разорвать соединение со стороны отправителя пакетов сообщений игнорируют (см. блок 28 на фиг. 4) все входящие пакеты сообщений, до тех пор, пока не истечет тайм-аут соединения.
Запоминание в массиве памяти AG соответствия i-му разрешенному для использования в вычислительной сети IP-адресу сетевого устройства из множества {AIP} j-го сформированного МАС-адреса из массива памяти GMAC осуществляют путем записи в ячейку ⎜i,j⎜ двумерного массива памяти AG
логической единицы. Двумерный массив памяти в результате содержит простую матрицу, содержащую нули и единицы. Единица в ячейке матрицы означает соответствие i-го IP-адреса сетевого устройства j-му MAC-адресу.
Результативность сформулированного технического результата была проверена путем программной реализации заявленного способа и проведении натурного эксперимента. Суть эксперимента - сравнение результативности обнаружения сетевой «ловушки», реализованной в способе-прототипе, с результативностью обнаружения сетевой «ловушки» при программной реализации заявленного способа. Для идентификации сетевой «ловушки», то есть для идентификации характеристик средств защиты в процессе эксперимента применен перехват из сетевого трафика ответов на запросы по протоколу ARP с использованием анализатора пакетов Wireshark описанного, например в (Abbhinav, Singh. Instant Wireshark Starter. Pakt Publishing, UK. 69 p. ISBN 978-1-84969-564-0). На фиг. 6 представлена экранная форма, иллюстрирующая результаты первого этапа эксперимента. Результат анализа сетевого трафика - использование единственного и неизменяемого значения (00:00:0F:FF:FF:FF)16 MAC-адреса. Обнаружение данного MAC-адреса позволяет однозначно идентифицировать факт использования в качестве средства защиты вычислительной сети сетевую «ловушку».
На втором этапе эксперимента использовалась программная реализация заявленного способа. Результат случайной генерации МАС-адресов сетевых устройств вычислительной сети и анализа сетевого трафика с использованием анализатора пакетов Wireshark представлен на фиг. 7. Использование таких МАС-адресов при ответах на запросы по протоколу ARP позволило полностью устранить демаскирующий признак сетевой «ловушки» и скрыть таким образом тип используемого в вычислительной сети средства защиты.
Таблица на фиг. 7 содержит следующие основные элементы. В таблице записано чередование широковещательных (Broadcast) запросов (нечетная строка, например, № п/п 247) по протоколу ARP и ответов на них. Нарушитель осуществляет запросы через маршрутизатор AsustekC. Суть запроса отражается в столбце таблицы «Содержимое ARP-запроса». Рассмотрим пример. В строке №247 маршрутизатор AsustekC запрашивает физический адрес (МАС-адрес) устройства с IP-адресом 1.1.0.100. В строке №248 п/п устройство с физическим адресом (MAC-адресом) 2 с:33:11:ас:а9:2е производителя Cisco Systems, Inc. отвечает маршрутизатору AsustekC своим соответствием запрашиваемому IP-адресу. Аналогичный диалог происходит и в остальных парах строк таблицы с двумя другими производителями сетевых устройствам (Hewlett Packard, Apple, Inc.). Это наглядно демонстрирует, что злоумышленник в случае его нахождения в одном сегменте сети с сетевой «ловушкой» будет наблюдать только сетевые устройства с характерными для этого сегмента сети производителями. При этом все ответы на ARP-запросы отправляет сетевая «ловушка», реализованная заявленным способом, устанавливая соответствие ложных узлов вычислительной сети запрашиваемым маршрутизатором AsustekC IP-адресам.
Таким образом, в заявленном способе достигается достижение сформулированной цели, заключающейся в повышении результативности защиты и введении в заблуждение нарушителя относительно структуры вычислительной сети, за счет снижения вероятности обнаружения нарушителем факта использования средств защиты и идентификации их характеристик, достигаемых путем разделения адресного пространства вычислительной сети на области, обеспечивающие реалистичность функционирования защищаемой вычислительной сети, а также путем формирования множества частично случайных значений МАС-адресов, соответствующих ложным узлам вычислительной сети.

Claims (2)

1. Способ защиты вычислительных сетей, заключающийся в том, что подключают сетевые устройства к вычислительной сети и после приема ARP-запросов к i-ому неиспользуемому IP-адресу сетевого устройства вычислительной сети формируют ответный пакет сообщений, записывают в поле «размер окна» TCP-заголовка ответного пакета сообщений значение Wнач, равное 10 байт, принимают очередной пакет сообщений, формируют ответный пакет сообщений, устанавливают в поле «размер окна» ТСР-заголовка ответного пакета сообщений значение W, равное 0 байт, направляют отправителю сформированные ответные пакеты сообщений, а для блокирования попыток разорвать соединение со стороны отправителя пакетов сообщений игнорируют все входящие пакеты сообщений до истечения тайм-аута соединения, отличающийся тем, что предварительно задают множество {MIP} всех i IP-адресов сетевых устройств вычислительной сети, где i=1, 2,…, n, а n - максимально допустимое значение диапазона IP-адресов для вычислительной сети, множество {AIP} разрешенных для использования в вычислительной сети IP-адресов сетевых устройств, где {AIP}∈{MIP}, множество {DIP} запрещенных для использования в вычислительной сети IP-адресов сетевых устройств, где {DIP}={MIP\AIP}={DIP∈MIP∧DIP∉AIP}, множество {UIP} разрешенных и временно неподключенных IP-адресов сетевых устройств в вычислительной сети из множества {AIP} и множество {RIP} разрешенных и подключенных IP-адресов сетевых устройств в вычислительной сети из множества {AIP}, где {UIP}={AIP\RIP)={UIP∈AIP∧UIP∉RIP} и {RIP}={AIP\UIP}={RIP∈AIP∧RIP∉UIP}, массив памяти SMAC для хранения считанных MAC-адресов сетевых устройств в вычислительной сети, массив памяти GMAC для хранения сформированных МАС-адресов, массив памяти AG для хранения матрицы соответствия i-му разрешенному для использования в вычислительной сети IP-адресу сетевого устройства из множества {AIP} j-го сформированного MAC-адреса из массива памяти GMAC, массив памяти
Figure 00000013
для хранения множества значений первых трех октетов МАС-адресов сетевых устройств вычислительной сети, содержащих информацию об их производителях, где Z - количество производителей сетевых устройств и после подключения сетевых устройств к вычислительной сети запоминают IP-адреса временно неподключенных сетевых устройств в множество {UIP}, считывают МАС-адреса подключенных сетевых устройств вычислительной сети и запоминают их в массиве памяти SMAC, запоминают множество значений первых трех октетов МАС-адресов сетевых устройств вычислительной сети, в массиве памяти MV, для формирования каждого j-го, где j=1, 2, …, J, случайного значения MAC-адреса временно неподключенного сетевого устройства вычислительной сети выбирают случайно из массива памяти MV его z-e значение, затем для формирования вторых трех октетов MAC-адреса генерируют случайную последовательность из трех октетов шестнадцатеричных чисел, и запоминают сформированное таким образом j-е значение MAC-адреса из шести октетов в массиве памяти GMAC, запоминают сформированные J значений МАС-адресов временно неподключенных сетевых устройств вычислительной сети в массиве памяти GMAC и сравнивают сформированные J значений МАС-адресов временно неподключенных сетевых устройств вычислительной сети из массива памяти GMAC с MAC-адресами временно неподключенных сетевых устройств вычислительной сети из массива памяти SMAC, а по результатам сравнения в случае их совпадения j-й МАС-адрес удаляют из массива памяти GMAC, в противном случае, то есть при их несовпадении, запоминают в массиве памяти AG соответствие i-му разрешенному для использования в вычислительной сети IP-адресу сетевого устройства из множества {AIP} j-го сформированного MAC-адреса из массива памяти GMAC, после чего принимают ARP-запрос к любому i-му IP-адресу сетевого устройства из множества {MIP} и сравнивают IP-адрес получателя ARP-запроса с IP-адресами сетевых устройств из множества {DIP} запрещенных для использования в вычислительной сети IP-адресов сетевых устройств, а по результатам сравнения в случае совпадения IP-адреса получателя ARP-запроса с IP-адресами из множества {DIP} запрещенных для использования в вычислительной сети IP-адресов сетевых устройств игнорируют ARP-запрос, а в противном случае, то есть при несовпадении IP-адреса получателя ARP-запроса с IP-адресами из множества {DIP}, сравнивают IP-адрес получателя ARP-запроса с IP-адресами сетевых устройств из множества {RIP} разрешенных и подключенных IP-адресов сетевых устройств, и по результатам сравнения в случае совпадения IP-адреса получателя ARP-запроса с IP-адресами из множества {RIP} разрешенных и подключенных IP-адресов формируют сообщение о доступности узла получателя пакетов сообщений, а в противном случае, то есть при несовпадении IP-адреса получателя ARP-запроса с IP-адресами из множества {RIP}, сравнивают IP-адрес получателя ARP-запроса с IP-адресами сетевых устройств из множества {UIP} временно неподключенных IP-адресов, и по результатам сравнения в случае несовпадения IP-адреса получателя ARP-запроса с IP-адресами из множества {UIP} временно неподключенных IP-адресов формируют сообщение о доступности узла получателя пакетов сообщений, а в противном случае, то есть при совпадении IP-адреса получателя ARP-запроса с IP-адресами из множества {UIP}, после формирования ответного пакета сообщений и записывания в поле «размер окна» TCP-заголовка ответного пакета сообщений значения Wнач, равное 10 байт, записывают в заголовок ответного пакета j-й сформированный МАС-адрес для i-го IP-адреса из массива памяти GMAC, направляют отправителю ответный пакет сообщений со значением j-го сформированного MAC-адреса для i-го IP-адреса из массива памяти GMAC.
2. Способ по п. 1, отличающийся тем, что запоминание в массиве памяти AG соответствия i-му разрешенному для использования в вычислительной сети IP-адресу сетевого устройства из множества {AIP} j-го сформированного MAC-адреса из массива памяти GMAC осуществляют путем записи в ячейку |i, j| массива памяти AG логической единицы.
RU2018118912A 2018-05-22 2018-05-22 Способ защиты вычислительных сетей RU2690749C1 (ru)

Priority Applications (1)

Application Number Priority Date Filing Date Title
RU2018118912A RU2690749C1 (ru) 2018-05-22 2018-05-22 Способ защиты вычислительных сетей

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
RU2018118912A RU2690749C1 (ru) 2018-05-22 2018-05-22 Способ защиты вычислительных сетей

Publications (1)

Publication Number Publication Date
RU2690749C1 true RU2690749C1 (ru) 2019-06-05

Family

ID=67037904

Family Applications (1)

Application Number Title Priority Date Filing Date
RU2018118912A RU2690749C1 (ru) 2018-05-22 2018-05-22 Способ защиты вычислительных сетей

Country Status (1)

Country Link
RU (1) RU2690749C1 (ru)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2726900C1 (ru) * 2019-12-09 2020-07-16 федеральное государственное казенное военное образовательное учреждение высшего образования "Краснодарское высшее военное орденов Жукова и Октябрьской Революции Краснознаменное училище имени генерала армии С.М. Штеменко" Министерства обороны Российской Федерации Способ защиты вычислительных сетей
RU2759152C1 (ru) * 2021-01-28 2021-11-09 федеральное государственное казенное военное образовательное учреждение высшего образования "Краснодарское высшее военное орденов Жукова и Октябрьской Революции Краснознаменное училище имени генерала армии С.М. Штеменко" Министерства обороны Российской Федерации Способ маскирования структуры сети связи
RU2761542C1 (ru) * 2021-03-15 2021-12-09 Акционерное общество "Лаборатория Касперского" Система и способ формирования системы ресурсов-ловушек
CN114285826A (zh) * 2021-12-28 2022-04-05 威创集团股份有限公司 分布式设备配置ip地址且检测冲突的方法、系统、设备及介质

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6513122B1 (en) * 2001-06-29 2003-01-28 Networks Associates Technology, Inc. Secure gateway for analyzing textual content to identify a harmful impact on computer systems with known vulnerabilities
RU2422892C1 (ru) * 2010-04-13 2011-06-27 Государственное образовательное учреждение высшего профессионального образования "Военная академия связи имени С.М. Буденного" Министерства обороны Российской Федерации Способ защиты вычислительной сети
RU2472211C1 (ru) * 2011-11-23 2013-01-10 Федеральное государственное военное образовательное учреждение высшего профессионального образования "Военная академия связи имени маршала Советского Союза С.М. Буденного" Министерства обороны Российской Федерации Способ защиты информационно-вычислительных сетей от компьютерных атак
RU2649789C1 (ru) * 2017-07-17 2018-04-04 федеральное государственное казенное военное образовательное учреждение высшего образования "Краснодарское высшее военное училище имени генерала армии С.М. Штеменко" Министерства обороны Российской Федерации Способ защиты вычислительных сетей

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6513122B1 (en) * 2001-06-29 2003-01-28 Networks Associates Technology, Inc. Secure gateway for analyzing textual content to identify a harmful impact on computer systems with known vulnerabilities
RU2422892C1 (ru) * 2010-04-13 2011-06-27 Государственное образовательное учреждение высшего профессионального образования "Военная академия связи имени С.М. Буденного" Министерства обороны Российской Федерации Способ защиты вычислительной сети
RU2472211C1 (ru) * 2011-11-23 2013-01-10 Федеральное государственное военное образовательное учреждение высшего профессионального образования "Военная академия связи имени маршала Советского Союза С.М. Буденного" Министерства обороны Российской Федерации Способ защиты информационно-вычислительных сетей от компьютерных атак
RU2649789C1 (ru) * 2017-07-17 2018-04-04 федеральное государственное казенное военное образовательное учреждение высшего образования "Краснодарское высшее военное училище имени генерала армии С.М. Штеменко" Министерства обороны Российской Федерации Способ защиты вычислительных сетей

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2726900C1 (ru) * 2019-12-09 2020-07-16 федеральное государственное казенное военное образовательное учреждение высшего образования "Краснодарское высшее военное орденов Жукова и Октябрьской Революции Краснознаменное училище имени генерала армии С.М. Штеменко" Министерства обороны Российской Федерации Способ защиты вычислительных сетей
RU2759152C1 (ru) * 2021-01-28 2021-11-09 федеральное государственное казенное военное образовательное учреждение высшего образования "Краснодарское высшее военное орденов Жукова и Октябрьской Революции Краснознаменное училище имени генерала армии С.М. Штеменко" Министерства обороны Российской Федерации Способ маскирования структуры сети связи
RU2761542C1 (ru) * 2021-03-15 2021-12-09 Акционерное общество "Лаборатория Касперского" Система и способ формирования системы ресурсов-ловушек
CN114285826A (zh) * 2021-12-28 2022-04-05 威创集团股份有限公司 分布式设备配置ip地址且检测冲突的方法、系统、设备及介质
CN114285826B (zh) * 2021-12-28 2023-04-21 威创集团股份有限公司 分布式设备配置ip地址且检测冲突的方法、系统、设备及介质

Similar Documents

Publication Publication Date Title
US12074908B2 (en) Cyber threat deception method and system, and forwarding device
CN110445770B (zh) 网络攻击源定位及防护方法、电子设备及计算机存储介质
RU2690749C1 (ru) Способ защиты вычислительных сетей
CN111756712B (zh) 一种基于虚拟网络设备伪造ip地址防攻击的方法
Luo et al. RPAH: Random port and address hopping for thwarting internal and external adversaries
KR101010465B1 (ko) 엔드포인트 리소스를 사용하는 네트워크 보안 요소
CN112769771A (zh) 基于虚假拓扑生成的网络防护方法及系统和系统架构
CN110266650B (zh) Conpot工控蜜罐的识别方法
Rohatgi et al. A detailed survey for detection and mitigation techniques against ARP spoofing
Meghana et al. A survey on ARP cache poisoning and techniques for detection and mitigation
CN113746788A (zh) 一种数据处理方法及装置
CN112688900A (zh) 一种防御arp欺骗和网络扫描的局域网安全防护系统及方法
CN114244801B (zh) 一种基于政企网关的防arp欺骗方法及系统
KR101593897B1 (ko) 방화벽, ids 또는 ips를 우회하는 네트워크 스캔 방법
RU2422892C1 (ru) Способ защиты вычислительной сети
RU2686023C1 (ru) Способ защиты вычислительных сетей
RU2680038C1 (ru) Способ защиты вычислительных сетей
RU2586840C1 (ru) Способ обработки дейтаграмм сетевого трафика для скрытия корреспондирующих пар абонентов информационно-телекоммуникационных систем
Fayyaz et al. Using JPCAP to prevent man-in-the-middle attacks in a local area network environment
Xiaorong et al. Security analysis for IPv6 neighbor discovery protocol
Chai et al. A study of security threat for Internet of Things in smart factory
US20220103582A1 (en) System and method for cybersecurity
CN112714126B (zh) 一种在IPv6地址空间中提升蜜罐诱捕攻击能力的方法及系统
Korolkov et al. Analysis of attacks in IEEE 802.11 networks at different levels of OSI model
RU2716220C1 (ru) Способ защиты вычислительных сетей