RU2728289C1 - System for selecting means and methods of protecting organizational and technical systems from group heterogeneous information and technical impacts - Google Patents
System for selecting means and methods of protecting organizational and technical systems from group heterogeneous information and technical impacts Download PDFInfo
- Publication number
- RU2728289C1 RU2728289C1 RU2019123568A RU2019123568A RU2728289C1 RU 2728289 C1 RU2728289 C1 RU 2728289C1 RU 2019123568 A RU2019123568 A RU 2019123568A RU 2019123568 A RU2019123568 A RU 2019123568A RU 2728289 C1 RU2728289 C1 RU 2728289C1
- Authority
- RU
- Russia
- Prior art keywords
- technical
- unit
- information
- output
- input
- Prior art date
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
Abstract
Description
Изобретение относится к области информационной безопасности компьютерных сетей, а именно к средствам мониторинга информационной безопасности и минимизации ущерба от информационно-технических воздействий.The invention relates to the field of information security of computer networks, namely to means of monitoring information security and minimizing damage from information and technical impacts.
Анализ инцидентов информационной безопасности показывает, что существенный ущерб причиняют групповые разнородные информационно-технических воздействия.Analysis of information security incidents shows that significant damage is caused by heterogeneous group information and technical impacts.
Под групповыми разнородными информационно-техническими воздействиями понимается применение в ходе одного воздействия нескольких классов компьютерных атак, таких как компьютерная разведка, MITM-атака, DDoS-атаки, Фишинговая-атака, SQL-инъекции и др. [Гречишников Е.В., Добрышин М.М. Подход к моделированию узла компьютерной сети как объект разнородных компьютерных атак проводимых одновременно / Сборник трудов IV Межвузовской научно-практической конференции «Проблемы технического обеспечения войск в современных условиях: Военная академия связи. – Санкт-Петербург. –2019. – С. 19-23].By group heterogeneous information and technical influences is understood the use of several classes of computer attacks during one impact, such as computer intelligence, MITM attack, DDoS attacks, Phishing attack, SQL injection, etc. [Grechishnikov E.V., Dobryshin M .M. An approach to modeling a computer network node as an object of heterogeneous computer attacks carried out simultaneously / Proceedings of the IV Interuniversity scientific and practical conference “Problems of technical support of troops in modern conditions: Military Academy of Communications. - St. Petersburg. –2019. - S. 19-23].
Стратегия применения групповых разнородных информационно-технических воздействий – последовательность применения информационно-технических воздействий скоординированных во времени, направленных на достижение цели воздействия (блокирование, модификация или подмена защищаемой информации) и осуществляемые как на один уровень эталонной модели взаимодействия открытых систем (ЭМВОС), так и на разные уровни [Гречишников Е.В., Добрышин М.М. Подход к моделированию узла компьютерной сети как объект разнородных компьютерных атак проводимых одновременно / Сборник трудов IV Межвузовской научно-практической конференции «Проблемы технического обеспечения войск в со-временных условиях: Военная академия связи. – Санкт-Петербург. –2019. – С. 19-23].The strategy for the use of heterogeneous group information and technical impacts is a sequence of application of information and technical impacts coordinated in time, aimed at achieving the goal of impact (blocking, modification or substitution of protected information) and carried out both at one level of the reference model of open systems interaction (EMVOS) and to different levels [Grechishnikov E.V., Dobryshin M.M. An approach to modeling a computer network node as an object of heterogeneous computer attacks carried out simultaneously / Proceedings of the IV Interuniversity scientific-practical conference “Problems of technical support of troops in modern conditions: Military Academy of Communications. - St. Petersburg. –2019. - S. 19-23].
Стратегия защиты от групповых разнородных информационно-технических воздействий – последовательность применения (в том числе и автоматическое) средств и способов защиты от выявленных информационно-технических воздействий.The strategy of protection from heterogeneous group information and technical influences is a sequence of application (including automatic) of means and methods of protection against identified information and technical influences.
Под пользовательским интерфейсом понимается интерфейс, обеспечивающий передачу информации между пользователем-человеком и программно-аппаратными компонентами компьютерной системы [Systems and software engineering – Vocabulary. INTERNATIONAL STANDARDISO/IEC/IEEE 24765:2017 [Электронный ресурс] URL: http:\\standards.iso.org/ittf/PubliclyAvailableStandards/c071952_ISO_IEC_IEEE_24765_2017.zip#en].The user interface is understood as an interface that provides the transfer of information between a human user and the hardware and software components of a computer system [Systems and software engineering - Vocabulary. INTERNATIONAL STANDARDISO / IEC / IEEE 24765: 2017 [Electronic resource] URL: http: \\ standards.iso.org/ittf/PubliclyAvailableStandards/c071952_ISO_IEC_IEEE_24765_2017.zip#en].
Информационно-техническое воздействие – совокупность специально организованной информации, информационных технологий, способов и средств, позволяющих целенаправленно изменять (уничтожать, искажать), копировать, блокировать информацию, преодолевать системы защиты, ограничивать допуск законных пользователей, осуществлять дезинформацию, нарушать функционирование систем обработки информации, дезорганизовывать работу технических средств, компьютерных систем и информационно-вычислительных сетей, а также другой инфраструктуры высокотехнологического обеспечения жизни общества и функционирования системы управления государством, применяемое в ходе информационной операции для достижения поставленных целей [Макаренко С. И. Информационное оружие в технической сфере: терминология, классификация, примеры / Системы управления, связи и безопасности № 3. 2016 / URL: http://sccs.intelgr.com/archive/2016-03/11-Makarenko.pdf].Information and technical impact - a set of specially organized information, information technologies, methods and means that allow you to purposefully change (destroy, distort), copy, block information, overcome security systems, restrict access to legitimate users, carry out disinformation, disrupt the functioning of information processing systems, disorganize the operation of technical means, computer systems and information and computer networks, as well as other infrastructure for high-tech support of society and the functioning of the state management system, used in the course of an information operation to achieve the goals [Makarenko S. I. Information weapons in the technical sphere: terminology, classification , examples / Control, communication and security systems No. 3. 2016 / URL: http://sccs.intelgr.com/archive/2016-03/11-Makarenko.pdf].
Под организационно-техническими системами понимается совокупность технических, организационных, управленческих и методических систем, а так же персонал использующий их [Аверченков В.И. Автоматизация проектирования комплексных систем защиты информации: монография/ В.И. Аверченков, М.Ю. Рытов, О.М. Голембиовская – Брянск: БГТУ, 2012. – 139 с.].Organizational and technical systems are understood as a set of technical, organizational, management and methodological systems, as well as personnel using them [Averchenkov V.I. Automation of the design of integrated information security systems: monograph / V.I. Averchenkov, M. Yu. Rytov, O. M. Golembiovskaya - Bryansk: BSTU, 2012. - 139 p.].
Известно «Устройство измерения качества каналов связи передачи цифровой информации» (патент РФ № 2230437, H04B 17/00 опубл. 10.06.2004 г. Бюл. № 16.). Устройство содержит индикатор работоспособности, анализатор, элемент И, измеряемый приемник, первый блок переключения, оконечная аппаратура, второй блок переключения, блок измерения исправляющих способностей приемника, блок контроля оконечной аппаратуры, блок измерения коэффициента исправного действия.It is known "A device for measuring the quality of communication channels for transmitting digital information" (RF patent No. 2230437, H04B 17/00 publ. 10.06.2004, bull. No. 16.). The device contains an operability indicator, an analyzer, an I element, a measured receiver, a first switching unit, terminal equipment, a second switching unit, a unit for measuring the receiver's correcting capabilities, a terminal equipment control unit, and a unit for measuring the operational efficiency.
Известно «Устройство диагностирования каналов передачи цифровой информации» (патент РФ № 2473114, G06F 11/30, H04B 17/00 опубл. 20.01.2013 г. Бюл. № 2.) Устройство содержит измеряемые приемники, первый блок переключения, оконечную аппаратуру, второй блок переключения, блок измерения коэффициента исправного действия, индикатор работоспособности, анализатор, элемент И, блок измерения исправляющих способностей приемника, блок контроля оконечной аппаратуры, устройство управления, устройство вероятностного прогнозирования, блок расчета коэффициента оперативной готовности, система цифровой обработки сигналов.It is known "Device for diagnosing digital information transmission channels" (RF patent No. 2473114,
Наиболее близким по технической сущности и выполняемым функциям аналогом (прототипом) к заявленному, является «Система определения причин отказа в обслуживании, вызванного эксплуатационными отказами и сбоями и (или) информационно-техническими воздействиями» (патент РФ № 2680742, G06F 11/30 G06F 21/00 опубл. 26.02.2019 Бюл. № 6). Указанная система включает: n - комплектов средств измерения физических параметров канала связи; m-комплектов оконечной аппаратуры; g – комплектов пользовательского интерфейса; блок анализа физических параметров канала связи; блок анализа сетевого потока; блок оценки качества предоставляемых услуг связи; блок контроля значений параметров системы; базы данных и блока визуализации. Первый выход n - комплектов средств измерения физических параметров канала связи соединен со входом блока анализа физических параметров канала связи, второй выход n - средств измерения физических параметров канала связи соединен с входом m - комплектов оконечной аппаратуры; первый выход m - комплектов оконечной аппаратуры соединен с входом блока анализа сетевого потока, второй выход соединен с g – комплектами пользовательских интерфейсов; выход g – комплектов пользовательских интерфейсов соединен со входом блока оценки качества предоставляемых услуг связи; выходы блоков анализа физических параметров канала связи, блока анализа сетевого потока и блока оценки качества предоставляемых услуг связи соединены с первым входом блока контроля значений параметров системы, второй вход блока контроля значений параметров системы соединен с выходом базы данных.The closest in technical essence and functions performed by the analogue (prototype) to the claimed one is "The system for determining the reasons for the denial of service caused by operational failures and failures and (or) information and technical influences" (RF patent No. 2680742,
Техническая проблема: низкая защищенность узлов связи от групповых разнородных информационно-технических воздействий, из-за низкой обоснованности применения имеющихся средств и способов противодействия групповым разнородным информационно-техническим воздействиям вызванной низкой достоверностью выявления групповых разнородных информационно-технических воздействий.Technical problem: low security of communication centers from heterogeneous group information and technical influences, due to the low validity of the use of existing means and methods of countering heterogeneous group information and technical influences caused by the low reliability of identifying heterogeneous group information and technical influences.
Решение технической проблемы обеспечивается за счет создания системы выбора средств и способов защиты организационно-технических систем от групповых разнородных информационно-технических воздействий, использование которой позволяет на основе идентификации и классификации к одиночным или групповыми разнородными информационно-техническими воздействиями, сформировать обоснованную последовательность применения средств и способов противодействия информационно-техническим воздействиям.The solution to the technical problem is ensured by creating a system for selecting means and methods of protecting organizational and technical systems from heterogeneous group information and technical influences, the use of which allows, on the basis of identification and classification to single or group heterogeneous information and technical influences, to form a justified sequence of using the means and methods counteraction to information and technical influences.
Технический результат: повышение защищенности узлов связи от групповых разнородных информационно-технических воздействий, путем повышения обоснованности применения имеющихся средств и способов противодействия информационно-техническим воздействиям за счет повышения достоверности выявления групповых разнородных информационно-технических воздействий.EFFECT: increased security of communication centers from heterogeneous group information and technical influences, by increasing the validity of the use of available means and methods of countering information and technical influences by increasing the reliability of identifying heterogeneous group information and technical influences.
Техническая проблема решается тем, что в систему выбора средств и способов защиты организационно-технических систем от групповых разнородных информационно-технических воздействий состоящую из n - комплектов средств измерения физических параметров канала связи [Программно-аппаратный информационный комплекс AnCom KMC. Каталог, описание товаров AnCom: URL: https://ancom.nt-rt.ru/images/showcase/catalog_ancom.pdf]; m-комплектов оконечной аппаратуры [Программно-аппаратный информационный комплекс AnCom TDA-9. Каталог, описание товаров AnCom: URL: https://ancom.nt-rt.ru/images/showcase/catalog_ancom.pdf]; g – комплектов пользовательского интерфейса [Программно-аппаратный информационный комплекс AnCom AnCom AT-9/FXO. Каталог, описание товаров AnCom: URL: https://ancom.nt-rt.ru/images/showcase/catalog_ancom.pdf]; блока анализа физических параметров канала связи [блок возможно реализовать при помощи среды моделирования AnyLogic 5.3.1]; блока анализа сетевого потока [блок возможно реализовать при помощи среды моделирования AnyLogic 5.3.1]; блок оценки качества предоставляемых услуг связи [блок возможно реализовать при помощи среды моделирования AnyLogic 5.3.1]; блока контроля значений параметров системы; базы данных [Microsoft – SQL Server] и блока визуализации [формирование изображения и графической информации с помощью мониторов компьютера].The technical problem is solved by the fact that the system for choosing means and methods of protecting organizational and technical systems from heterogeneous group information and technical influences consisting of n - sets of means for measuring the physical parameters of the communication channel [Hardware and software information complex AnCom KMC. Catalog, description of AnCom products: URL: https://ancom.nt-rt.ru/images/showcase/catalog_ancom.pdf]; m-sets of terminal equipment [Hardware and software information complex AnCom TDA-9. Catalog, description of AnCom products: URL: https://ancom.nt-rt.ru/images/showcase/catalog_ancom.pdf]; g - user interface kits [AnCom AnCom AT-9 / FXO. Catalog, description of AnCom products: URL: https://ancom.nt-rt.ru/images/showcase/catalog_ancom.pdf]; block for analyzing the physical parameters of the communication channel [the block can be implemented using the AnyLogic 5.3.1 modeling environment]; network flow analysis block [the block can be implemented using the AnyLogic 5.3.1 modeling environment]; block for assessing the quality of the provided communication services [the block can be implemented using the AnyLogic 5.3.1 modeling environment]; control unit for system parameter values; database [Microsoft - SQL Server] and visualization unit [formation of images and graphic information using computer monitors].
Первый выход n - комплектов средств измерения физических параметров канала связи, соединен с входом m - комплектов оконечной аппаратуры; второй выход n - средств измерения физических параметров канала связи, соединен с входом блока анализа физических параметров канала связи; первый выход m - комплектов оконечной аппаратуры, соединен с g – комплектами пользовательских интерфейсов; второй выход m - комплектов оконечной аппаратуры, соединен c входом блока анализа сетевого потока; выход g – комплектов пользовательских интерфейсов, соединен с входом блока оценки качества предоставляемых услуг связи; выход базы данных соединен с первым входом блока контроля значений параметров системы; выходы блоков анализа физических параметров канала связи, блока анализа сетевого потока и блока оценки качества предоставляемых услуг связи соединены с вторым, третьем и четвертым входами блока контроля значений параметров системы [блок возможно реализовать при помощи среды моделирования AnyLogic 5.3.1].The first output of n - sets of means for measuring the physical parameters of the communication channel, is connected to the input of m - sets of terminal equipment; the second output n - means for measuring the physical parameters of the communication channel, is connected to the input of the unit for analyzing the physical parameters of the communication channel; the first output of m - sets of terminal equipment, is connected to g - sets of user interfaces; the second output of m - sets of terminal equipment, is connected to the input of the network flow analysis unit; output g - sets of user interfaces, connected to the input of the unit for assessing the quality of the provided communication services; the database output is connected to the first input of the system parameter values control unit; the outputs of the blocks for analyzing the physical parameters of the communication channel, the block for analyzing the network flow and the block for assessing the quality of the provided communication services are connected to the second, third and fourth inputs of the block for controlling the values of the system parameters [the block can be implemented using the AnyLogic 5.3.1 modeling environment].
Дополнительно введены: блок анализа девиантного поведения системы [блок возможно реализовать при помощи среды моделирования AnyLogic 5.3.1]; блок оценки возможностей одиночных информационно-технических воздействий [SIM (Security Information Management) - системы, анализируют накопленную информацию со стороны статистики, различных отклонений от «нормального поведения» и т.д. https://www.anti-malware.ru/analytics/Technology_Analysis/Overview_SECURITY_systems_global_and_Russian_market]; блок оценки возможностей групповых разнородных информационно-технических воздействий [SIM (Security Information Management) - системы, анализируют накопленную информацию со стороны статистики, различных отклонений от «нормального поведения» и т.д. https://www.anti-malware.ru/analytics/Technology_ Analysis/Overview_SECURITY_systems_global_and_Russian_market]; блок выбора вариантов стратегии защиты [возможно реализовать на базе данных Microsoft – SQL Server] и блок формирования отчета [возможно реализовать на базе данных Microsoft – SQL Server].Additionally introduced: block for analysis of deviant behavior of the system [the block can be implemented using the AnyLogic 5.3.1 modeling environment]; unit for evaluating the capabilities of single information and technical impacts [SIM (Security Information Management) - systems that analyze the accumulated information from the side of statistics, various deviations from "normal behavior", etc. https://www.anti-malware.ru/analytics/Technology_Analysis/Overview_SECURITY_systems_global_and_Russian_market]; block for assessing the capabilities of heterogeneous group information and technical impacts [SIM (Security Information Management) - systems that analyze the accumulated information from the side of statistics, various deviations from "normal behavior", etc. https://www.anti-malware.ru/analytics/Technology_ Analysis / Overview_SECURITY_systems_global_and_Russian_market]; a block for selecting options for a protection strategy [can be implemented on a Microsoft - SQL Server database] and a report generation block [can be implemented on a Microsoft - SQL Server database].
Первый выход блока контроля значений параметров системы соединен с первым входом блока анализа девиантного поведения системы; второй выход базы данных соединен со вторым входом блока анализа девиантного поведения системы; второй выход блока контроля значений параметров системы соединен с первым входом блока формирования отчета; первый выход блока анализа девиантного поведения системы соединен с входом блока оценки возможностей одиночных информационно-технических воздействий; первый выход блока оценки возможностей одиночных информационно-технических воздействий соединен с третьим входом блока анализа девиантного поведения системы; второй выход блока оценки возможностей одиночных информационно-технических воздействий соединен с входом блока оценки возможностей групповых разнородных информационно-технических воздействий; третий выход блока оценки возможностей одиночных информационно-технических воздействий соединен с первым входом блока выбора вариантов стратегии защиты; выход блока оценки возможностей групповых разнородных информационно-технических воздействий соединен со вторым входом блока выбора вариантов стратегии защиты; выход блока выбора вариантов стратегии защиты соединен со вторым входом блока формирования отчета; выход блока формирования отчета соединен с входом блока визуализации.The first output of the unit for monitoring the values of the system parameters is connected to the first input of the unit for analyzing the deviant behavior of the system; the second output of the database is connected to the second input of the unit for analyzing the deviant behavior of the system; the second output of the system parameter values control unit is connected to the first input of the report generation unit; the first output of the unit for analyzing the deviant behavior of the system is connected to the input of the unit for assessing the possibilities of single information and technical influences; the first output of the unit for assessing the possibilities of single information and technical influences is connected to the third input of the unit for analyzing the deviant behavior of the system; the second output of the unit for assessing the possibilities of single information and technical influences is connected to the input of the unit for assessing the possibilities of group heterogeneous information and technical influences; the third output of the unit for assessing the possibilities of single information and technical influences is connected to the first input of the unit for selecting options for the protection strategy; the output of the unit for assessing the possibilities of heterogeneous group information and technical influences is connected to the second input of the unit for selecting options for the protection strategy; the output of the block for selecting options for the protection strategy is connected to the second input of the block for generating the report; the output of the report generation unit is connected to the input of the visualization unit.
Перечисленная новая совокупность существенных признаков обеспечивает повышение защищенности узлов связи от групповых разнородных информационно-технических воздействий, за счет повышения достоверности оценки ущерба от проводимых одновременно нескольких воздействий и на основе этих оценок повысит обоснованность применения имеющихся средств и способов противодействия групповым разнородным информационно-техническим воздействиям.The enumerated new set of essential features provides an increase in the security of communication centers from heterogeneous group information and technical influences, by increasing the reliability of damage assessment from several simultaneous impacts and, on the basis of these assessments, will increase the validity of the use of available means and methods of countering heterogeneous group information and technical impacts.
Проведенный анализ уровня техники позволил установить, что аналоги, характеризующиеся совокупностями признаков, тождественным всем признакам заявленной системы, отсутствуют. Следовательно, заявленное изобретение соответствует условию патентоспособности "новизна".The analysis of the state of the art made it possible to establish that there are no analogs characterized by sets of features identical to all features of the claimed system. Therefore, the claimed invention meets the "novelty" requirement of patentability.
«Промышленная применимость» способа обусловлена наличием элементной базы, на основе которой могут быть выполнены устройства, реализующие данную систему с достижением указанного в изобретении результата.The "industrial applicability" of the method is due to the presence of an element base, on the basis of which devices that implement this system can be made to achieve the result specified in the invention.
Результаты поиска известных решений в данной и смежной областях техники с целью выявления признаков, совпадающих с отличительными от прототипов признаками заявленного изобретения, показали, что они не следуют явным образом из уровня техники. Из определенного заявителем уровня техники не выявлена известность влияния предусматриваемых существенными признаками заявленного изобретения на достижение указанного технического результата. Следовательно, заявленное изобретение соответствует условию патентоспособности «изобретательский уровень».The results of the search for known solutions in this and related fields of technology in order to identify features that match the distinctive features of the prototypes of the features of the claimed invention, have shown that they do not follow explicitly from the prior art. The prior art determined by the applicant has not revealed the influence of the essential features of the claimed invention on the achievement of the specified technical result. Therefore, the claimed invention meets the "inventive step" requirement of patentability.
Заявленные объекты системы поясняются чертежами, на которых показаны:The declared objects of the system are illustrated by drawings, which show:
Фиг.1 – структурная схема системы выбора средств и способов защиты организационно-технических систем от групповых разнородных информационно-технических воздействий.Fig. 1 is a structural diagram of a system for selecting means and methods of protecting organizational and technical systems from heterogeneous group information and technical influences.
Фиг. 2 – структурная схема блока контроля значений параметров системы.FIG. 2 is a block diagram of a control unit for system parameter values.
Фиг. 3 – структурная схема блока оценки возможностей групповых разнородных информационно-технических воздействий.FIG. 3 is a block diagram of a block for assessing the possibilities of heterogeneous group information and technical influences.
Система выбора средств и способов защиты организационно-технических систем от групповых разнородных информационно-технических воздействий (фиг. 1) состоит из n - комплектов средств измерения физических параметров канала связи (блок 1);
m - комплектов оконечной аппаратуры (блок 2); g - пользовательских интерфейсов (блок 3), блока анализа физических параметров канала связи (блок 4), блока анализа сетевого потока (блок 5), блока оценки качества предоставляемых услуг связи (блок 6), блока контроля значений параметров системы (блок 7), базы данных (блок 8); блока анализа девиантного поведения системы (блок 9); блока оценки возможностей одиночных информационно-технических воздействий (блок 10); блока оценки возможностей групповых разнородных информационно-технических воздействий (блок 11); блока выбора вариантов стратегии защиты (блок 12); блок формирования отчета (блок 13); блока визуализации (блок 14).The system for selecting means and methods of protecting organizational and technical systems from heterogeneous group information and technical influences (Fig. 1) consists of n - sets of means for measuring the physical parameters of the communication channel (block 1);
m - sets of terminal equipment (block 2); g - user interfaces (block 3), a block for analyzing the physical parameters of the communication channel (block 4), a block for analyzing a network flow (block 5), a block for assessing the quality of the provided communication services (block 6), a block for monitoring system parameter values (block 7), databases (block 8); unit for analyzing deviant behavior of the system (block 9); block for assessing the possibilities of single information and technical impacts (block 10); block for assessing the possibilities of heterogeneous group information and technical impacts (block 11); a block for selecting options for a protection strategy (block 12); block for generating a report (block 13); visualization unit (block 14).
Заявленная система (фиг. 1) работает следующим образом. На первоначальном этапе формируют базу данных (блок 8). В базу на основании заблаговременных измерений заносят значения параметров, характеризующие корректное функционирование системы:
Допустимые значения отклонений параметров от нормы:
Отклонение значений контролируемых параметров от нормы при различных видах информационно-технических воздействиях:
Нормированные значения вероятности нарушения нормального функционирования организационно-технических систем при воздействии
После чего на вход n - комплектов средств измерения физических параметров канала связи (блок 1) поступает информационный сигнал. В блоке 1 измеряют фактические значения параметров информационного сигнала. After that, an information signal is sent to the input of n - sets of means for measuring the physical parameters of the communication channel (block 1). In
Первый выход блока 1 соединен с входом m - комплектов оконечной аппаратуры (блок 2) в который поступает информационный сигнал. В блоке 2 измеряют фактические значения параметров сетевого соединения.The first output of
Первый выход блока 2 соединен с входом g - пользовательских интерфейсов (блок 3) в который поступает информационный сигнал. В блоке 3 измеряют фактические значения параметров качества предоставляемых услуг связи.The first output of
Второй выход блока 1 соединен с входом блока анализа физических параметров канала связи (блок 4). В блоке 4 измеренные значения физических параметров канала связи (
где k – количество физических параметров канала связи; n – количество наборов значений физических параметров канала связи.where k is the number of physical parameters of the communication channel; n is the number of sets of values of the physical parameters of the communication channel.
Второй выход блока 2 соединен с входом блока анализа сетевого потока (блок 5). В блоке 5 измеренные значения параметров сетевого соединения (
где l – количество параметров сетевого потока; m – количество наборов значений параметров сетевого потока.where l is the number of network stream parameters; m is the number of sets of values for network stream parameters.
Выход блока 3 соединен с входом блок оценки качества предоставляемых услуг связи (блок 6). В блоке 6 измеренные значения параметров качества предоставляемых услуг связи (
где y – количество параметров качества предоставляемых услуг связи; g – количество наборов значений параметров качества предоставляемых услуг связи.where y is the number of quality parameters of the provided communication services; g is the number of sets of values for the quality parameters of the provided communication services.
Выход базы данных (блок 8) соединен с первым входом блока контроля значений параметров системы (блок 7). С выхода блока 8 на первый вход блока 7 передаются нормированные наборы значений параметров (
Выходы блоков 4, 5 и 6 соединены со вторым, третьим и четвертым входами блока 7 соответственно. Из которых передаются сформированные наборы значений параметров организационно-технической системы (
В блоке 7 оценивают отклонение измеренных значений параметров организационно-технической системы (
В блоке 7.1 рассчитывают фактическое отклонение измеренных значений параметров системы (
В блоке 7.2 сравнивают фактическое отклонение измеренных значений параметров системы (
Если все условия (4.1 - 4.3) выполняются, то с второго выхода блока 7 на первый вход блока формирования отчета (блок 13) передается сообщение об отсутствии выявленных признаков информационно-технических воздействий. Если одно из условий (4.1, 4.2 или 4.3) не выполняется, то измеренные значения параметров системы (
На второй вход блока 9 со второго выхода базы данных поступают значения отклонений контролируемых параметров от нормы при различных информационно-технических воздействиях (
В блоке 9 на основании сопоставления значений отклонений измеренных параметров системы (
После определения вида ИТВ с выхода блока 9 на вход блока оценки возможностей одиночных информационно-технических воздействий (блок 10) передаются измеренные значения параметров системы (
В блоке 10 с использованием измеренных значений параметров системы (
Если на основании проведенных расчетов выявлен один вид информационно-технических воздействий, то рассчитанные значения вероятности нарушения нормального функционирования организационно-технических систем (
Если на основании проведенных расчетов выявлено два и более вида информационно-технических воздействий превышающих допустимое значение, то измеренные значения параметров системы (
В блоке 11 рассчитывают значения вероятности нарушения нормального функционирования организационно-технической системы при проведении групповых разнородных информационно-технических воздействий (
Рассчитанные значения вероятности нарушения нормального функционирования организационно-технической системы при проведении нескольких информационно-технических воздействий (
В блоке 11.3 определяют наиболее вероятные стратегии применения информационно-технических воздействий, путем сравнения рассчитанных значений вероятности нарушения нормального функционирования организационно-технической системы при проведении нескольких информационно-технических воздействий (
С выхода блока 11 на второй вход блока 12 передаются рассчитанные значения вероятности нарушения нормального функционирования организационно-технической системы при проведении нескольких информационно-технических воздействий (
В блоке 12 на основании полученных из блоков 10 и 11 значений вероятностей нарушения нормального функционирования организационно-технической системы (
С выхода блока 12 на вход блока блок формирования отчета (блок 13) поступает сформулированная последовательность активации средств защиты, на основании которой определяется последовательность действий оператора по активации средств защиты.From the output of
Выход блока 13 соединен с входом блока визуализации (блок 14). Блок 14 обеспечивает визуализацию результатов работы системы выбора средств и способов защиты организационно-технических систем от групповых разнородных информационно-технических воздействий.The output of
Расчёт эффективности заявленной системы проводился следующим образом:The calculation of the efficiency of the declared system was carried out as follows:
На первом этапе моделируются воздействия одиночных информационно-технических воздействий (в качестве моделируемых воздействий используются сканирование портов, DDoS-атака, MITM-атака, Фишинговая атака и SQL-иньекция).At the first stage, the impacts of single information technology impacts are modeled (port scanning, DDoS attack, MITM attack, Phishing attack, and SQL injection are used as the modeled impacts).
При выявлении указанных одиночных информационно-технических воздействий и система прототип и разработанная система выявляют все проводимые воздействия и осуществляют противодействие им.When identifying these single information and technical influences, both the prototype system and the developed system identify all conducted influences and counter them.
На втором этапе моделируются воздействия групповых разнородных информационно-технических воздействий (в качестве моделируемых воздействий используются следующие стратегии: стратегия 1 – сканирование портов, DDoS-атака, Фишинговая атака; стратегия 2 – сканирование портов, DDoS-атака, SQL-иньекция; стратегия 3 – MITM-атака, SQL-иньекция).At the second stage, the impacts of heterogeneous group information and technical impacts are modeled (the following strategies are used as the modeled impacts: strategy 1 - port scanning, DDoS attack, phishing attack; strategy 2 - port scanning, DDoS attack, SQL injection; strategy 3 - MITM attack, SQL injection).
При выявлении указанных групповых разнородных информационно-технических воздействий система прототип выявила только стратегию 3, а при выявлении стратегий 1 и 2 допустила ошибки. Разработанная система выявила все три стратегии воздействия. Как следствие система-прототип не осуществила противодействие двум групповым разнородным информационно-техническим воздействиям, а разработанная система осуществила противодействие всем трем воздействиям.When identifying these group heterogeneous information and technical influences, the prototype system revealed
На основании этого, следует вывод, что заявленная система выбора средств и способов защиты организационно-технических систем от групповых разнородных информационно-технических воздействий обеспечивает повышение достоверности выявления групповых разнородных информационно-технических воздействий, что повышает обоснованность применения имеющихся средств и способов противодействия информационно-техническим воздействиям и как следствие обеспечивает повышение защищенности узлов связи от групповых разнородных информационно-технических воздействий.Based on this, it follows that the declared system for selecting means and methods of protecting organizational and technical systems from heterogeneous group information and technical influences provides an increase in the reliability of identifying heterogeneous group information and technical impacts, which increases the validity of the use of available means and methods of countering information and technical impacts and as a result, it provides increased security of communication centers from heterogeneous group information and technical influences.
Claims (1)
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
RU2019123568A RU2728289C1 (en) | 2019-07-26 | 2019-07-26 | System for selecting means and methods of protecting organizational and technical systems from group heterogeneous information and technical impacts |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
RU2019123568A RU2728289C1 (en) | 2019-07-26 | 2019-07-26 | System for selecting means and methods of protecting organizational and technical systems from group heterogeneous information and technical impacts |
Publications (1)
Publication Number | Publication Date |
---|---|
RU2728289C1 true RU2728289C1 (en) | 2020-07-29 |
Family
ID=72085745
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
RU2019123568A RU2728289C1 (en) | 2019-07-26 | 2019-07-26 | System for selecting means and methods of protecting organizational and technical systems from group heterogeneous information and technical impacts |
Country Status (1)
Country | Link |
---|---|
RU (1) | RU2728289C1 (en) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
RU214686U1 (en) * | 2022-07-12 | 2022-11-10 | Федеральное государственное бюджетное учреждение "4 Центральный научно-исследовательский институт" Министерства обороны Российской Федерации | A device for modeling the process of implementing information and technical impact in an automated military system with several false network information objects |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7483972B2 (en) * | 2003-01-08 | 2009-01-27 | Cisco Technology, Inc. | Network security monitoring system |
RU2381550C2 (en) * | 2007-06-04 | 2010-02-10 | Академия ФСО России | Method of monitoring web server security |
RU2538292C1 (en) * | 2013-07-24 | 2015-01-10 | Открытое Акционерное Общество "Информационные Технологии И Коммуникационные Системы" | Method of detecting computer attacks to networked computer system |
RU2680756C1 (en) * | 2017-12-14 | 2019-02-26 | Федеральное государственное автономное образовательное учреждение дополнительного профессионального образования "Центр реализации государственной образовательной политики и информационных технологий" | Method of detecting network attacks based on analysis of traffic time structure |
-
2019
- 2019-07-26 RU RU2019123568A patent/RU2728289C1/en active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7483972B2 (en) * | 2003-01-08 | 2009-01-27 | Cisco Technology, Inc. | Network security monitoring system |
RU2381550C2 (en) * | 2007-06-04 | 2010-02-10 | Академия ФСО России | Method of monitoring web server security |
RU2538292C1 (en) * | 2013-07-24 | 2015-01-10 | Открытое Акционерное Общество "Информационные Технологии И Коммуникационные Системы" | Method of detecting computer attacks to networked computer system |
RU2680756C1 (en) * | 2017-12-14 | 2019-02-26 | Федеральное государственное автономное образовательное учреждение дополнительного профессионального образования "Центр реализации государственной образовательной политики и информационных технологий" | Method of detecting network attacks based on analysis of traffic time structure |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
RU214686U1 (en) * | 2022-07-12 | 2022-11-10 | Федеральное государственное бюджетное учреждение "4 Центральный научно-исследовательский институт" Министерства обороны Российской Федерации | A device for modeling the process of implementing information and technical impact in an automated military system with several false network information objects |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN107819771B (en) | Information security risk assessment method and system based on asset dependency relationship | |
US9900344B2 (en) | Identifying a potential DDOS attack using statistical analysis | |
US9154516B1 (en) | Detecting risky network communications based on evaluation using normal and abnormal behavior profiles | |
McHugh | Testing intrusion detection systems: a critique of the 1998 and 1999 darpa intrusion detection system evaluations as performed by lincoln laboratory | |
US10104124B2 (en) | Analysis rule adjustment device, analysis rule adjustment system, analysis rule adjustment method, and analysis rule adjustment program | |
US10944784B2 (en) | Identifying a potential DDOS attack using statistical analysis | |
US7672283B1 (en) | Detecting unauthorized wireless devices in a network | |
CN108632269B (en) | Distributed denial of service attack detection method based on C4.5 decision tree algorithm | |
US20080222287A1 (en) | Constructing an Inference Graph for a Network | |
WO2016020660A1 (en) | Cyber security | |
Shan et al. | Tail attacks on web applications | |
KR20110067264A (en) | Anomalous event detection apparatus and method | |
EA031992B1 (en) | Log analysis system | |
KR101600302B1 (en) | Method of security using cloud multi-vaccine and apparatus thereof | |
CN112839017A (en) | Network attack detection method and device, equipment and storage medium thereof | |
Wang et al. | Botnet detection using social graph analysis | |
RU2728289C1 (en) | System for selecting means and methods of protecting organizational and technical systems from group heterogeneous information and technical impacts | |
Liu et al. | Piggybacking network functions on SDN reactive routing: A feasibility study | |
Oujezsky et al. | Botnet C&C traffic and flow lifespans using survival analysis | |
CN114189361B (en) | Situation awareness method, device and system for defending threat | |
Gnatyuk et al. | Modern SIEM Analysis and Critical Requirements Definition in the Context of Information Warfare | |
Ahuja et al. | Plumewalk: Towards threat provenance localization for iot networks | |
Yevdokymenko et al. | Proactive Approach for Security of the Infocommunication Network Based on Vulnerability Assessment | |
Ekoramaradhya et al. | A Novel DevSecOps Model for Robust Security in an MQTT Internet of Things | |
CN114338221B (en) | Network detection system based on big data analysis |