RU2739151C1 - Method for masking structure of communication network - Google Patents

Method for masking structure of communication network Download PDF

Info

Publication number
RU2739151C1
RU2739151C1 RU2020112143A RU2020112143A RU2739151C1 RU 2739151 C1 RU2739151 C1 RU 2739151C1 RU 2020112143 A RU2020112143 A RU 2020112143A RU 2020112143 A RU2020112143 A RU 2020112143A RU 2739151 C1 RU2739151 C1 RU 2739151C1
Authority
RU
Russia
Prior art keywords
masking
communication
messages
value
route
Prior art date
Application number
RU2020112143A
Other languages
Russian (ru)
Inventor
Роман Викторович Максимов
Виктор Викторович Починок
Сергей Петрович Соколовский
Вадим Валерьевич Кучуров
Александр Павлович Теленьга
Роман Сергеевич Шерстобитов
Original Assignee
федеральное государственное казенное военное образовательное учреждение высшего образования "Краснодарское высшее военное орденов Жукова и Октябрьской Революции Краснознаменное училище имени генерала армии С.М. Штеменко" Министерства обороны Российской Федерации
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by федеральное государственное казенное военное образовательное учреждение высшего образования "Краснодарское высшее военное орденов Жукова и Октябрьской Революции Краснознаменное училище имени генерала армии С.М. Штеменко" Министерства обороны Российской Федерации filed Critical федеральное государственное казенное военное образовательное учреждение высшего образования "Краснодарское высшее военное орденов Жукова и Октябрьской Революции Краснознаменное училище имени генерала армии С.М. Штеменко" Министерства обороны Российской Федерации
Priority to RU2020112143A priority Critical patent/RU2739151C1/en
Application granted granted Critical
Publication of RU2739151C1 publication Critical patent/RU2739151C1/en

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F15/00Digital computers in general; Data processing equipment in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

FIELD: information technology.
SUBSTANCE: invention relates to a method of masking a structure of a communication network. Method includes selecting masking message terminating nodes, monitoring of termination failures (faults) of masking message packets at the terminator node and adapting the masking communication path parameters to the communication network structure (parameters) change.
EFFECT: technical result consists in improvement of reliability of message packets delivery to receiving subscriber at high intensity of masking message packets.
3 cl, 10 dwg

Description

Изобретение относится к области инфокоммуникаций, а именно к обеспечению информационной безопасности цифровых систем связи, и, в частности, заявленный способ маскирования структуры сети связи предназначен для использования в распределенных сетях связи, построенных на основе сети связи общего пользования (например, Интернет).The invention relates to the field of infocommunications, namely to ensuring information security of digital communication systems, and, in particular, the claimed method for masking the structure of a communication network is intended for use in distributed communication networks based on a public communication network (for example, the Internet).

Известен способ обеспечения корректировки маршрутов к абонентам сети, реализованный в «Способе корректировки маршрутов в сети передачи данных» по патенту РФ №2220190 МПК H04L 12/28, опубл. 10.10.1998 г.A known method of ensuring the correction of routes to network subscribers, implemented in the "Method of correcting routes in the data transmission network" by RF patent No. 2220190 IPC H04L 12/28, publ. 10.10.1998

Способ заключается в том, что поиск маршрутов доставки сообщений к абоненту осуществляется по сетевому адресу узла коммутации его текущей привязки. Выбор маршрутов к абоненту осуществляется на узлах коммутации по служебному корректирующему сообщению, содержащему сетевые адреса абонента, узла коммутации и код признака корректировки «запись», «стирание».The method consists in the fact that the search for routes of message delivery to the subscriber is carried out according to the network address of the switching node of its current binding. The choice of routes to the subscriber is carried out at the switching nodes according to the service correcting message containing the network addresses of the subscriber, the switching node and the correction attribute code "write", "erase".

Недостатком данного способа является отсутствие адаптации к изменениям структуры сети связи. Это вызвано тем, что корректировка осуществляется децентрализовано и охватывает не всю сеть связи, а ее отдельные локальные участки. Отсутствие параметров выбора маршрутов к абоненту приводит к низкому качеству выбора.The disadvantage of this method is the lack of adaptation to changes in the structure of the communication network. This is due to the fact that the adjustment is carried out in a decentralized manner and does not cover the entire communication network, but its individual local sections. The absence of parameters for choosing routes to the subscriber leads to a low quality of choice.

Известен также способ обеспечения безопасности информации, циркулирующей в распределенной телекоммуникационной системе при передаче ее по каналам связи общего пользования, реализованный в «Распределенной телекоммуникационной системе для передачи разделенных данных, предназначенной для их раздельной передачи и приема» по патенту US №6912252 МПК H04L 12/56; H04L 12/28, опубл. 08.11.2001 г.There is also known a method of ensuring the security of information circulating in a distributed telecommunications system when transmitting it through public communication channels, implemented in the "Distributed telecommunication system for the transmission of divided data, intended for their separate transmission and reception" by US patent No. 6912252 IPC H04L 12/56 ; H04L 12/28, publ. 08.11.2001

Способ заключается в выполнении следующих действий: исходные данные у отправителя разделяют на N частей. Далее из их комбинаций формируют группы промежуточных данных. Затем передают промежуточные данные независимо по N каналам связи. У получателя принимают группы промежуточных данных, пришедших по N каналам связи, и восстанавливают первоначальные данные.The method consists in performing the following actions: the original data from the sender is divided into N parts. Further, from their combinations, groups of intermediate data are formed. Then intermediate data is transmitted independently over N communication channels. Groups of intermediate data arriving via N communication channels are received from the recipient and the original data is restored.

Недостатком данного способа является относительно низкая скрытность связи и увеличение вероятности идентификации корреспондирующих субъектов в результате увеличения числа каналов связи между корреспондентами. Наличие транзитных узлов сети и каналов связи разных типов, обладающих низким уровнем безопасности, увеличивает потребность в ассортименте средств связи и создает предпосылки для перехвата злоумышленниками информационного обмена абонентов сети.The disadvantage of this method is the relatively low secrecy of communication and an increase in the likelihood of identifying the correspondent subjects as a result of the increase in the number of communication channels between correspondents. The presence of transit nodes of the network and communication channels of various types with a low level of security increases the need for an assortment of communication facilities and creates prerequisites for the interception of information exchange of network subscribers by malefactors.

Известен также «Способ выбора целесообразным образом используемого маршрута в маршрутизаторе для равномерного распределения в коммутационной сети» по заявке на изобретение РФ №2004111798 МПК H04L 1/00, опубл. 10.05.2005 г.It is also known "A method for choosing an expediently used route in a router for uniform distribution in a switching network" according to the application for invention of the Russian Federation No. 2004111798 IPC H04L 1/00, publ. May 10, 2005

Способ учитывает критерии качества маршрутов и информацию о структуре сети связи, включающую адреса узлов сети и наличие связи между ними. Для целевого адреса сети выбирают один маршрут, в соответствии с предварительно заданными критериями качества маршрутов, и передают по выбранному маршруту сообщения.The method takes into account the criteria for the quality of routes and information about the structure of the communication network, including the addresses of network nodes and the presence of communication between them. For the target network address, one route is selected in accordance with predetermined criteria for the quality of routes, and messages are transmitted along the selected route.

Недостатком указанного способа является относительно низкая скрытность связи при использовании выбранного маршрута информационного обмена абонентов в сети связи. Наличие транзитных узлов сети, обладающих низким уровнем безопасности, создает предпосылки для перехвата злоумышленниками информационного обмена абонентов сети и реконструкции трафика распределенной сети в некоторой точке сети Интернет.The disadvantage of this method is the relatively low secrecy of communication when using the selected route of information exchange of subscribers in the communication network. The presence of transit nodes of the network with a low level of security creates prerequisites for the interception of information exchange of network subscribers by attackers and reconstruction of distributed network traffic at some point on the Internet.

Известен также «Способ выбора безопасного маршрута в сети связи» по патенту РФ №2331158 МПК H04L 12/28, опубл. 10.08.2008 г.There is also known "A method for choosing a safe route in a communication network" by RF patent No. 2331158 IPC H04L 12/28, publ. 08/10/2008

Способ обеспечивает повышение скрытности связи за счет задания информации о структуре сети связи, исходных данных об узлах и абонентах сети, расчета комплексных показателей безопасности узлов сети, и на основе этих данных управления маршрутами информационного обмена абонентов в сети связи и выбора наиболее безопасного маршрута.The method provides for an increase in the secrecy of communication by specifying information about the structure of the communication network, initial data about the nodes and subscribers of the network, calculating the integrated security indicators of the network nodes, and on the basis of these data control the routes of information exchange of subscribers in the communication network and choosing the most secure route.

Недостатком указанного способа является низкая скрытность связи абонентов сети, обусловленная возможностью идентификации пакетов сообщений относительно конкретных пользователей сети и, следовательно, вскрытие структуры распределенной сети связи, в случае компрометации выбранного безопасного маршрута связи абонентов.The disadvantage of this method is the low secrecy of the communication of network subscribers, due to the possibility of identifying message packets with respect to specific network users and, therefore, opening the structure of the distributed communication network, in case of compromise of the selected secure communication route of subscribers.

Известен также «Способ маскирования структуры сети связи» по патенту РФ №2645292 МПК H04L 12/28, опубл. 19.02.2018 г.There is also known "A method for masking the structure of a communication network" by RF patent No. 2645292 IPC H04L 12/28, publ. 19.02.2018

Способ обеспечивает повышение скрытности связи и затруднение идентификации абонентов сети несанкционированными абонентами за счет непрерывного изменения идентификаторов абонентов сети в передаваемых пакетах сообщений, передачи пакетов сообщений по всем допустимым маршрутам связи и передачи маскирующих сообщений по маскирующим маршрутам связи.The method provides for increased secrecy of communication and difficulty in identifying network subscribers by unauthorized subscribers due to continuous change of identifiers of network subscribers in transmitted message packets, transmission of message packets along all admissible communication routes and transmission of masking messages along masking communication routes.

Недостатками указанного способа являются относительно высокая вероятность перегрузки абонентов сети обработкой маскирующих сообщений, обусловленная возможностью образования очередей пакетов сообщений у передающего абонента, занятого обработкой и передачей в сеть связи маскирующих сообщений, и ухудшение показателя своевременности доставки пакетов сообщений принимающему абоненту, что может привести к потере фрагментов пакетов сообщений, вызванной истечением предельно допустимого времени их пребывания на маршруте связи. Повторная передача потерянных пакетов сообщений приводит к дополнительной нагрузке на сеть связи и абонентов, а повторная передача потерянных маскирующих пакетов сообщений может привести к компрометации результатов маскирования структуры сети связи.The disadvantages of this method are the relatively high probability of overloading network subscribers with processing masking messages, due to the possibility of generating queues of message packets at the transmitting subscriber, busy with processing and transmitting masking messages to the communication network, and a deterioration in the timeliness of delivery of message packets to the receiving subscriber, which can lead to the loss of fragments message packets caused by the expiration of the maximum permissible time of their stay on the communication route. Retransmission of lost message packets leads to additional load on the communication network and subscribers, and retransmission of lost masking message packets can compromise the results of masking the structure of the communication network.

Наиболее близким аналогом (прототипом) по своей технической сущности к заявленному способу является «Способ маскирования структуры сети связи» по патенту РФ №2682105 МПК H04L 12/28, опубл. 14.03.2019 г.The closest analogue (prototype) in its technical essence to the claimed method is "Method of masking the structure of a communication network" according to RF patent No. 2682105 IPC H04L 12/28, publ. 03/14/2019

Ближайший аналог обеспечивает повышение скрытности связи и затруднение идентификации структуры сети связи несанкционированными абонентами, а также устраняет ряд недостатков аналогов за счет динамического изменения длины пакетов маскирующих сообщений и выбора для каждого маскирующего маршрута связи узлов-терминаторов маскирующих сообщений. В прототипе достигают уменьшения времени ожидания в очереди пакетов сообщений у передающего абонента, а также улучшения показателя своевременности доставки пакетов сообщений принимающему абоненту.The closest analogue increases the secrecy of communication and makes it difficult to identify the structure of the communication network by unauthorized subscribers, and also eliminates a number of disadvantages of the analogs by dynamically changing the length of masking message packets and selecting masking messages for each masking route of communication of terminator nodes. In the prototype, a decrease in the waiting time in the queue of message packets at the transmitting subscriber is achieved, as well as an improvement in the indicator of the timeliness of delivery of message packets to the receiving subscriber.

Недостатками указанного прототипа является высокая вероятность ухудшения показателя своевременности доставки пакетов сообщений принимающему абоненту при высокой интенсивности пакетов маскирующих сообщений в случаях сбоев (отказов) терминации пакетов маскирующих сообщений на узле-терминаторе, которые могут быть вызваны влиянием случайных и преднамеренных помех, и относительно низкая достоверность выбора узлов-терминаторов маскирующих сообщений, обусловленная отсутствием адаптации маскирующего маршрута связи к изменению структуры и параметров сети связи.The disadvantages of this prototype are the high probability of deterioration of the indicator of the timeliness of delivery of message packets to the receiving subscriber with a high intensity of packets of masking messages in cases of failures (refusals) of termination of packets of masking messages at the terminator node, which can be caused by the influence of random and deliberate interference, and a relatively low reliability of the choice nodes-terminators of masking messages, due to the lack of adaptation of the masking communication route to changes in the structure and parameters of the communication network.

Целью заявленного изобретения является разработка способа маскирования структуры сети связи, обеспечивающего снижение вероятности ухудшения показателя своевременности доставки пакетов сообщений принимающему абоненту при высокой интенсивности пакетов маскирующих сообщений за счет мониторинга сбоев (отказов) терминации пакетов маскирующих сообщений на узле-терминаторе, и повышение достоверности выбора узлов-терминаторов маскирующих сообщений за счет адаптации параметров маскирующего маршрута связи к изменению структуры и параметров сети связи.The aim of the claimed invention is to develop a method for masking the structure of a communication network, which reduces the likelihood of deterioration of the indicator of the timeliness of delivery of message packets to the receiving subscriber with a high intensity of packets of masking messages by monitoring failures (failures) of termination of packets of masking messages at the terminator node, terminators of masking messages by adapting the parameters of the masking communication route to changes in the structure and parameters of the communication network.

Указанный технический результат достигается тем, что в известном способе маскирования структуры сети связи, заключающемся в том, что для сети связи, содержащей совокупность из X узлов сети, имеющих адреса IPX предварительно задают исходные данные, содержащие информацию о структуре сети связи, включающую структурный массив [IP], адрес сервера безопасности IРСБ и адреса абонентов IPa, подключенных к сети связи. Задают для каждого х-го узла сети, где х=1,2,…, X, совокупность Y параметров безопасности и их значения bxy, где y=1,2,…,Y. Задают допустимое значение

Figure 00000001
среднего показателя безопасности маршрута, массив памяти
Figure 00000002
для хранения вычисленных значений максимально возможной длины MTU пакета сообщений, который может быть передан без фрагментации узлами сети связи, принадлежащими маскирующему маршруту связи
Figure 00000003
Затем вычисляют комплексный показатель безопасности
Figure 00000004
для каждого х-го узла сети связи.The specified technical result is achieved by the fact that in the known method of masking the structure of the communication network, which consists in the fact that for a communication network containing a set of X network nodes having IP X addresses, initial data is pre-set containing information about the structure of the communication network, including a structural array [IP], the address of the security server IP SB and the addresses of IP a subscribers connected to the communication network. For each x-th node of the network, where x = 1,2, ..., X, set Y of security parameters and their values b xy , where y = 1,2, ..., Y. Set a valid value
Figure 00000001
average route safety, memory array
Figure 00000002
for storing the calculated values of the maximum possible MTU length of a message packet that can be transmitted without fragmentation by the communication network nodes belonging to the masking communication route
Figure 00000003
Then a comprehensive safety index is calculated
Figure 00000004
for each x-th node of the communication network.

Формируют матрицу смежности вершин графа сети связи, для чего запоминают в структурном массиве [IP] адреса узлов сети связи IPУС и адреса абонентов сети связи IPa сети, а также информацию о наличии связи между узлами и абонентами сети связи.Adjacency matrix form vertices of a communication network, which is stored in the structural array [IP] network communication node addresses and IP addresses CSS subscribers IP a communication network, and information of a link between the nodes and the subscribers of the communication network.

После этого формируют совокупность возможных маршрутов связи между i-м и j-м абонентами сети, где i=1, 2,…, у=1, 2,…, и i≠j в виде Nij деревьев графа сети связи. Каждое n-ое, где n=1,2,…, Nij, дерево графа состоит из zn вершин, соответствующих количеству принадлежащих ему узлов сети связи.After that, a set of possible communication routes between the i-th and j-th network subscribers is formed, where i = 1, 2,…, y = 1, 2,…, and i ≠ j in the form of N ij trees of the communication network graph. Each n-th, where n = 1,2, ..., N ij , the graph tree consists of z n vertices, corresponding to the number of nodes in the communication network belonging to it.

Для каждого из Nij возможных маршрутов связи вычисляют средний показатель безопасности маршрута

Figure 00000005
как среднее арифметическое комплексных показателей безопасности
Figure 00000006
узлов сети, входящих в n-ый маршрут связи.For each of the N ij possible communication routes, the average route safety index is calculated
Figure 00000005
as the arithmetic mean of complex safety indicators
Figure 00000006
network nodes included in the n-th communication route.

Сравнивают значения средних показателей безопасности маршрутов

Figure 00000007
с предварительно заданным допустимым значением
Figure 00000008
Comparison of the mean values of route safety
Figure 00000007
with a predefined allowable value
Figure 00000008

По результатам сравнения, если

Figure 00000009
формируют допустимые маршруты связи
Figure 00000010
и запоминают их. В противном случае, то есть если
Figure 00000011
то формируют маскирующие маршруты связи
Figure 00000012
и запоминают их.According to the comparison results, if
Figure 00000009
form valid communication routes
Figure 00000010
and remember them. Otherwise, that is, if
Figure 00000011
then form masking communication routes
Figure 00000012
and remember them.

Вычисляют значения MTU каждого узла сети связи, принадлежащего маскирующему маршруту связи

Figure 00000013
и запоминают их в массиве памяти
Figure 00000014
Calculate MTU values of each communication network node belonging to the masking communication route
Figure 00000013
and store them in a memory array
Figure 00000014

После вычисления значений MTU каждого узла сети связи, принадлежащего маскирующему маршруту связи

Figure 00000015
выбирают для каждого маскирующего маршрута связи узел-терминатор GT IP-пакетов маскирующих сообщений и запоминают его. Затем считывают из массива памяти
Figure 00000016
значение MTU узла-терминатора GT IP-пакетов маскирующих сообщений и запоминают его.After calculating the MTU values of each communication network node belonging to the masking communication route
Figure 00000015
for each masking communication route, a terminator node G T of IP packets of masking messages is selected and stored. Then read from the memory array
Figure 00000016
the MTU value of the terminator node G T of the IP packets of masking messages and store it.

Затем формируют сообщения, включающие информацию о запомненных маскирующих маршрутах связи

Figure 00000017
и значениях MTU узлов-терминаторов GT IP-пакетов маскирующих сообщений, отправляют сформированные сообщения о запомненных маскирующих маршрутах связи
Figure 00000018
, значениях MTU узлов-терминаторов GT IP-пакетов маскирующих сообщений и принимают их i-ми абонентами сети связи.Then, messages are generated, including information about the stored masking communication routes
Figure 00000017
and MTU values of terminator nodes G T of IP packets of masking messages, send generated messages about stored masking communication routes
Figure 00000018
, the MTU values of the terminator nodes G T of the IP packets of masking messages and are received by the i-th subscribers of the communication network.

После формируют маскирующие сообщения, содержащие маскирующую информацию, фрагментируют маскирующие сообщения на F фрагментов. Затем сравнивают длину Lf каждого f-го фрагмента с принятым значением MTU узла-терминатора GT IP-пакетов маскирующих сообщений.After that, masking messages are formed containing masking information, the masking messages are fragmented into F fragments. Then the length L f of each f-th fragment is compared with the received MTU value of the terminator node G T of the IP packets of the masking messages.

В случае, если длина Lf f-го фрагмента меньше или равна принятого значения MTU узла-терминатора GT IP-пакетов маскирующих сообщений, то дефрагментируют маскирующие сообщения до значений длины Lf фрагментов большей принятого значения MTU узла-терминатора.If the length L f f-th fragment is less than or equal to the received MTU value of the terminator node G T of the IP packets of masking messages, then the masking messages are defragmented to values of the length L f fragments greater than the received MTU value of the terminator node.

В противном случае, то есть если длина Lf f-го фрагмента больше принятого значения MTU узла-терминатора GT IP-пакетов маскирующих сообщений, то запрещают фрагментацию IP-пакета маскирующих сообщений при его передаче по сети связи. Затем сформированные маскирующие сообщения передают по маскирующим маршрутам связи

Figure 00000019
Otherwise, that is, if the length L f f-th fragment is greater than the received MTU value of the terminator node G T of the IP packets of masking messages, then the fragmentation of the IP packet of masking messages is prohibited during its transmission over the communication network. Then the generated masking messages are transmitted along masking communication routes
Figure 00000019

В исходные данные дополнительно задают массив памяти

Figure 00000020
для хранения вычисленных значений длины
Figure 00000021
каждого маскирующего маршрута связи
Figure 00000022
, массив памяти
Figure 00000023
для хранения значения интенсивности
Figure 00000024
маскирующих сообщений, направленных отправителем получателю для каждого маскирующего маршрута связи
Figure 00000025
, массив памяти
Figure 00000026
для хранения значения интенсивности
Figure 00000027
маскирующих сообщений, не терминированных на узле-терминаторе и полученных принимающим абонентом для каждого маскирующего маршрута связи
Figure 00000028
, массив памяти
Figure 00000029
для хранения результатов вычисления коэффициента результативности терминации
Figure 00000030
маскирующих сообщений для каждого маскирующего маршрута связи
Figure 00000031
, значение допустимого коэффициента результативности терминации
Figure 00000032
маскирующих сообщений и массив памяти [Tij] для хранения текущего значения астрономического времени и значения времени окончания
Figure 00000033
передачи маскирующих сообщений для каждого маскирующего маршрута связи
Figure 00000034
. После запоминания маскирующих маршрутов связи
Figure 00000035
, вычисляют длину
Figure 00000036
каждого маскирующего маршрута связи
Figure 00000037
и запоминают значение длины
Figure 00000038
каждого маскирующего маршрута связи в массиве памяти
Figure 00000039
. После запрета фрагментации IP-пакета маскирующих сообщений при его передаче по сети связи, запоминают в массиве памяти [Tij] текущее значение Ттек астрономического времени и значение времени окончания
Figure 00000040
передачи маскирующих сообщений для каждого маскирующего маршрута связи
Figure 00000041
. Затем, после передачи сформированных маскирующих сообщений по маскирующим маршрутам связи
Figure 00000042
, вычисляют значение интенсивности
Figure 00000043
IP-пакетов маскирующих сообщений, направленных i-м отправителем j-му получателю для каждого маскирующего маршрута связи
Figure 00000044
, запоминают значение интенсивности
Figure 00000045
IP-пакетов маскирующих сообщений в массиве памяти
Figure 00000046
The source data is additionally set to a memory array
Figure 00000020
for storing computed length values
Figure 00000021
each masking communication route
Figure 00000022
, memory array
Figure 00000023
to store the intensity value
Figure 00000024
masking messages directed by the sender to the recipient for each masking communication route
Figure 00000025
, memory array
Figure 00000026
to store the intensity value
Figure 00000027
masking messages not terminated at the terminator node and received by the receiving subscriber for each masking communication route
Figure 00000028
, memory array
Figure 00000029
for storing the results of calculating the termination performance coefficient
Figure 00000030
masking messages for each masking communication route
Figure 00000031
, the value of the permissible coefficient of effectiveness of termination
Figure 00000032
masking messages and a memory array [T ij ] for storing the current astronomical time value and the end time value
Figure 00000033
transmission of masking messages for each masking communication route
Figure 00000034
... After memorizing masking communication routes
Figure 00000035
, calculate the length
Figure 00000036
each masking communication route
Figure 00000037
and store the length value
Figure 00000038
each masking communication route in the memory array
Figure 00000039
... After the prohibition of the fragmentation of the IP packet of masking messages during its transmission over the communication network, the current value of T tech astronomical time and the end time value are stored in the memory array [T ij ]
Figure 00000040
transmission of masking messages for each masking communication route
Figure 00000041
... Then, after the transmission of the generated masking messages along masking communication routes
Figure 00000042
, calculate the value of the intensity
Figure 00000043
IP packets of masking messages sent by the i-th sender to the j-th recipient for each masking communication route
Figure 00000044
, store the intensity value
Figure 00000045
IP packet masking messages in memory array
Figure 00000046

Вычисляют значение интенсивности

Figure 00000047
IP-пакетов маскирующих сообщений, не терминированных на узле-терминаторе и полученных принимающим абонентом для каждого маскирующего маршрута связи
Figure 00000048
, далее запоминают значение интенсивности
Figure 00000049
IP-пакетов маскирующих сообщений в массиве памяти
Figure 00000050
. После этого вычисляют значение коэффициента результативности терминации
Figure 00000051
IP-пакетов маскирующих сообщений для каждого маскирующего маршрута связи
Figure 00000052
и запоминают значение коэффициента результативности
Figure 00000053
терминации IP-пакетов маскирующих сообщений в массиве памяти
Figure 00000054
. Далее сравнивают значения коэффициента результативности
Figure 00000055
терминации IP-пакетов маскирующих сообщений со значением допустимого коэффициента результативности
Figure 00000056
терминации IP-пакетов маскирующих сообщений.Calculate the intensity value
Figure 00000047
IP packets of masking messages not terminated at the terminator node and received by the receiving subscriber for each masking communication route
Figure 00000048
, then the value of the intensity is stored
Figure 00000049
IP packet masking messages in memory array
Figure 00000050
... After that, the value of the termination efficiency coefficient is calculated
Figure 00000051
IP packets of masking messages for each masking communication route
Figure 00000052
and remember the value of the coefficient of performance
Figure 00000053
termination of IP packets of masking messages in the memory array
Figure 00000054
... Next, the values of the performance coefficient are compared
Figure 00000055
termination of IP packets of masking messages with the value of the admissible performance factor
Figure 00000056
termination of IP packets of masking messages.

В случае, если

Figure 00000057
считывают значение длины
Figure 00000058
маскирующего маршрута связи
Figure 00000059
из массива памяти
Figure 00000060
уменьшают значение длины
Figure 00000061
на единицу. Далее формируют сообщение, включающее информацию об уменьшенном на единицу значении длины
Figure 00000062
маскирующего маршрута связи
Figure 00000063
. Отправляют сервером безопасности сформированное сообщение i-му абоненту сети связи и принимают сообщение i-м абонентом сети связи. Устанавливают i-м абонентом сети связи в служебном поле «Time То Live» заголовка IP-пакета маскирующих сообщений, передаваемых от отправителя, значение, равное уменьшенному на единицу значению длины
Figure 00000064
маскирующего маршрута связи
Figure 00000065
переходят к передаче маскирующих сообщений по маскирующим маршрутам связи
Figure 00000066
If
Figure 00000057
read the length value
Figure 00000058
communication masking route
Figure 00000059
from memory array
Figure 00000060
decrease the length value
Figure 00000061
per unit. Next, a message is formed, including information about the length value reduced by one
Figure 00000062
communication masking route
Figure 00000063
... The generated message is sent by the security server to the i-th subscriber of the communication network and the message is received by the i-th subscriber of the communication network. Set by the i-th subscriber of the communication network in the "Time To Live" service field of the header of the IP packet of masking messages transmitted from the sender, a value equal to the length value reduced by one
Figure 00000064
communication masking route
Figure 00000065
move on to transmission of masking messages along masking communication routes
Figure 00000066

В противном случае, то есть если

Figure 00000067
переходят к передаче маскирующих сообщений по маскирующим маршрутам связи.Otherwise, that is, if
Figure 00000067
pass to the transmission of masking messages along masking communication routes.

Далее сравнивают в массиве памяти [Tij] текущее значение Ттек астрономического времени и значение времени окончания

Figure 00000068
передачи маскирующих сообщений для каждого маскирующего маршрута связи
Figure 00000069
Next, compare in the memory array [T ij ] the current value of T tech astronomical time and the value of the end time
Figure 00000068
transmission of masking messages for each masking communication route
Figure 00000069

При выполнении условия

Figure 00000070
формируют отчет, содержащий информацию о значении коэффициента результативности терминации
Figure 00000071
IP-пакетов маскирующих сообщений для каждого маскирующего маршрута связи
Figure 00000072
. Противном случае, то есть если
Figure 00000073
изменяют исходные данные, содержащие информацию о структуре сети связи.If the condition is met
Figure 00000070
generate a report containing information on the value of the termination performance coefficient
Figure 00000071
IP packets of masking messages for each masking communication route
Figure 00000072
... Otherwise, that is, if
Figure 00000073
change the original data containing information about the structure of the communication network.

Для вычисления длины

Figure 00000074
каждого маскирующего маршрута
Figure 00000075
суммируют количество узлов сети связи между i-м и j-м абонентами. Значение коэффициента результативности терминации
Figure 00000076
IP-пакетов маскирующих сообщений для каждого маскирующего маршрута связи
Figure 00000077
вычисляют по формуле
Figure 00000078
To calculate the length
Figure 00000074
each cloaking route
Figure 00000075
summarize the number of communication network nodes between the i-th and j-th subscribers. Termination efficiency coefficient value
Figure 00000076
IP packets of masking messages for each masking communication route
Figure 00000077
calculated by the formula
Figure 00000078

Благодаря новой совокупности существенных признаков обеспечивается снижение вероятности ухудшения показателя своевременности доставки пакетов сообщений принимающему абоненту при высокой интенсивности пакетов маскирующих сообщений за счет мониторинга сбоев (отказов) терминации пакетов маскирующих сообщений на узле-терминаторе, и повышение достоверности выбора узлов-терминаторов маскирующих сообщений за счет адаптации параметров маскирующего маршрута связи к изменению структуры и параметров сети связи.Thanks to the new set of essential features, it is possible to reduce the likelihood of deterioration of the indicator of the timeliness of delivery of message packets to the receiving subscriber at a high intensity of masking message packets by monitoring failures (failures) of termination of masking message packets at the terminator node, and increasing the reliability of the choice of masking message terminator nodes through adaptation parameters of the masking communication route to change the structure and parameters of the communication network.

Заявленные объекты изобретения поясняются чертежами, на которых показаны:The claimed objects of the invention are illustrated by drawings, which show:

фиг. 1 - пример структуры распределенной сети связи, иллюстрирующий реконструкцию структуры сети связи нарушителем;fig. 1 is an example of the structure of a distributed communication network, illustrating the reconstruction of the structure of a communication network by an intruder;

фиг. 2 - структуры пакета сообщений и его IP-заголовка;fig. 2 - the structure of the message packet and its IP-header;

фиг. 3 - исходные данные для иллюстрации порядка расчетов;fig. 3 - initial data to illustrate the order of calculations;

фиг. 4 - блок-схема последовательности действий, реализующих заявленный способ маскирования структуры сети связи;fig. 4 is a flowchart of a sequence of actions that implement the claimed method for masking the structure of a communication network;

фиг. 5 - представление массивов исходных данных;fig. 5 - presentation of arrays of initial data;

фиг. 6 - таблицы расчета комплексных показателей безопасности узлов сети связи и средних показателей безопасности маршрутов связи;fig. 6 - tables for calculating the integrated safety indicators of communication network nodes and average safety indicators of communication routes;

фиг. 7 - выбор допустимых и маскирующих маршрутов связи;fig. 7 - selection of admissible and masking communication routes;

фиг. 8 - иллюстрация схем связи абонентов и сервера безопасности по трем допустимым маршрутам;fig. 8 is an illustration of communication schemes between subscribers and a security server along three valid routes;

фиг. 9 - итоговая схема связи абонентов, включающая допустимые и маскирующие маршруты, а также узел-терминатор;fig. 9 - the final scheme of subscriber communication, including admissible and masking routes, as well as a terminator node;

фиг. 10 - оценка результативности сформулированного технического результата.fig. 10 - evaluation of the effectiveness of the formulated technical result.

Заявленный способ реализуют следующим образом. В общем случае распределенные сети связи (фиг. 1a) строят для соединения абонентов сети 1 посредством сети связи общего пользования (например, Интернет), представляющей собой совокупность физических линий (каналов) связи 2, соединяющих собой X узлов сети 3 в единую инфраструктуру.The claimed method is implemented as follows. In the general case, distributed communication networks (Fig. 1a) are built to connect subscribers of network 1 through a public communication network (for example, the Internet), which is a collection of physical communication lines (channels) 2 connecting X nodes of network 3 into a single infrastructure.

Различные серверы цифровых систем связи могут быть доступны или выделенной совокупности абонентов, как, например, сервер безопасности 4, или представлять собой общедоступные серверы 5 сети связи общего пользования (например, Интернет 6).Various servers of digital communication systems can be available either to a dedicated set of subscribers, such as a security server 4, or be public servers 5 of a public communication network (for example, the Internet 6).

Целесообразно рассматривать случаи, когда количество узлов сети X больше двух. Все элементы инфраструктуры определяются идентификаторами, в качестве которых в наиболее распространенном семействе протоколов TCP/IP используют сетевые адреса (ZP-адреса). При необходимости распределенной обработки информации и (или) ее передачи абоненты осуществляют подключение к сети связи общего пользования.It is advisable to consider cases when the number of network nodes X is more than two. All infrastructure elements are identified by identifiers, which are used as network addresses (ZP addresses) in the most common family of TCP / IP protocols. If necessary, distributed information processing and (or) its transmission, subscribers connect to the public communications network.

Множества адресов абонентов, подключенных к сети связи, и адресов узлов сети не пересекаются. Например, при использовании абонентами сервиса электронной почты схема связи абонентов включает в себя абонентов 1 Абi и Абj (фиг. 1б), сервер 5 электронной почты и каналы связи между ними 2. Абоненты 1 Абi и Абj и сервер 5 электронной почты используют уникальные IP-адреса.The sets of addresses of subscribers connected to the communication network and addresses of network nodes do not intersect. For example, when subscribers use an e-mail service, the subscriber communication scheme includes subscribers 1 Ab i and Abj (Fig.1b), an e-mail server 5 and communication channels between them 2. Subscribers 1 Ab i and Abj and an e-mail server 5 use unique IP addresses.

При передаче пакетов сообщений по сетям связи общего пользования к абонентам сети, узлам сети и линиям (каналам) связи предъявляют требования информационной безопасности, характеризующие допустимые значения показателей безопасности элементов сети связи.When transmitting message packets over public communication networks to network subscribers, network nodes and communication lines (channels), information security requirements are imposed, characterizing the permissible values of the safety indicators of communication network elements.

В случае (фиг. 1a) компрометации безопасного маршрута связи абонентов и получения нарушителем 7 несанкционированного доступа к элементам сети связи 2 и (или) 3 схема связи абонентов становится доступной нарушителю. Здесь и далее под термином «компрометация безопасного маршрута связи абонентов» понимают событие, связанное с получением кем-либо несанкционированного доступа к элементам безопасного маршрута связи - точкам подключения абонентов к сети связи, транзитным узлам и линиям связи.In the case (Fig. 1a) compromise of the safe communication route of subscribers and the intruder 7 gaining unauthorized access to the elements of the communication network 2 and (or) 3, the subscriber communication scheme becomes available to the intruder. Hereinafter, the term "compromise of a secure communication route of subscribers" means an event associated with someone gaining unauthorized access to elements of a secure communication route - points of connection of subscribers to the communication network, transit nodes and communication lines.

Доступность схемы связи абонентов нарушителю обуславливается низкой скрытностью абонентов сети, использующих открытые IP-адреса, и возможностью идентификации по ним пакетов сообщений относительно конкретных пользователей сети и (или) узлов связи.The availability of the subscriber communication scheme to the intruder is due to the low secrecy of network subscribers using public IP addresses, and the possibility of identifying message packets with respect to specific network users and (or) communication nodes.

Например, на фиг. 1в, пользователи User №1 и User №2 (см. фиг. 1б) сгруппированы нарушителем в абонента Абi 1 по признаку использования ими одного IP-адреса, так как они подключены к сети связи общего пользования через один маршрутизатор (см. фиг. 1a). Структуры пакета сообщений и его IP-заголовка известны и представлены на фиг. 2. Использование абонентами для подключения к сети связи общего пользования одного маршрутизатора демаскирует их принадлежность к одному узлу связи. В то же время нарушитель наблюдает именно двух пользователей, сгруппированных в абонента Абi 1, так как между абонентами Абi и Абj кроме линии прямой связи существует альтернативный канал связи (показан на фиг. 1в пунктирной линией), включающий сервер электронной почты 5, что демаскируется полями «From» и «То» заголовка сообщения электронной почты, передаваемого абонентами. Структура служебных полей заголовка сообщения электронной почты известна и описана в технических спецификациях (RFC, Request for Comments) сети Интернет (см., например, https://tools.ietf.org/html/rfc822).For example, in FIG. 1c, users User # 1 and User # 2 (see Fig. 1b) are grouped by the intruder into subscriber Ab i 1 on the basis of their use of one IP address, since they are connected to the public communication network through one router (see Fig. 1a). The structures of the message packet and its IP header are known and are shown in FIG. 2. The use by subscribers to connect to the public communication network of one router unmasks their belonging to one communication center. At the same time, the intruder observes exactly two users grouped into subscriber Ab i 1, since between subscribers Ab i and Abj, in addition to the direct communication line, there is an alternative communication channel (shown in Fig. 1c with a dashed line), including the email server 5, which unmasked by the "From" and "To" fields of the header of the e-mail message sent by subscribers. The structure of the e-mail message header service fields is known and is described in the technical specifications (RFC, Request for Comments) of the Internet (see, for example, https://tools.ietf.org/html/rfc822).

В подобных описанному на фиг. 1 случаях считают, что нарушитель реконструирует (вскрывает) структуру сети связи и может осуществлять деструктивные воздействия на все ее элементы, а сама структура сети связи обладает низкой скрытностью связи.Similar to that described in FIG. In 1 cases, it is believed that the intruder reconstructs (reveals) the structure of the communication network and can carry out destructive effects on all its elements, and the structure of the communication network itself has low secrecy of communication.

Реконструкция структуры сети связи происходит вследствие известности (открытости) структуры пакетов сообщений, где адреса отправителя и получателя демаскируют абонентов сети.Reconstruction of the structure of the communication network occurs due to the publicity (openness) of the structure of message packets, where the addresses of the sender and recipient unmask network subscribers.

Для маскирования структуры сети связи необходимо обеспечивать индивидуальную скрытность абонентов, управлять маршрутами информационного обмена абонентов в сети связи общего пользования и передавать маскирующие сообщения для введения в заблуждение злоумышленников относительно структуры сети связи. Передача маскирующих сообщений может осуществляться между абонентами Абi и Абj, а также между специально подключенными к сети связи общего пользования ложными абонентами Абf, с помощью которых добиваются искажения структуры сети связи при ее реконструкции злоумышленником. Возможен также вариант организации маскирующего обмена между абонентами Абi или Абj и ложными абонентами Абf 8, как это показано на фиг. 1б пунктирными линиями.To mask the structure of the communication network, it is necessary to ensure the individual secrecy of subscribers, to control the routes of information exchange of subscribers in the public communication network and to transmit masking messages to mislead the attackers about the structure of the communication network. The transmission of masking messages can be carried out between subscribers Ab i and Abj, as well as between fake subscribers Abf specially connected to the public communication network, with the help of which the structure of the communication network is distorted when it is reconstructed by an intruder. It is also possible to organize a masking exchange between subscribers Ab i or Abj and false subscribers Abf 8, as shown in FIG. 1b with dotted lines.

Структура сети связи общего пользования динамична и содержит большое количество узлов, поэтому задачи оценивания показателей безопасности, формирования маршрутов и обслуживания запросов абонентов о безопасных маршрутах связи возлагают на выделенный сервер безопасности. Количество серверов безопасности зависит от размера сети связи и может быть задано, например, в соотношении 1 сервер на 7.. 10 корреспондирующих абонентов.The structure of the public communication network is dynamic and contains a large number of nodes, therefore, the tasks of evaluating security indicators, forming routes and servicing subscribers' requests for safe communication routes are assigned to a dedicated security server. The number of security servers depends on the size of the communication network and can be set, for example, in the ratio of 1 server to 7 .. 10 corresponding subscribers.

Рассмотрим вариант структуры распределенной сети связи (фиг. 3) представляющей собой совокупность из 5 узлов сети 3, сервера безопасности 4 и абонентов сети 1, объединенных физическими линиями связи 2.Consider a variant of the structure of a distributed communication network (Fig. 3), which is a combination of 5 network nodes 3, a security server 4 and network subscribers 1, united by physical communication lines 2.

На фиг. 4 представлена блок-схема последовательности действий, реализующих заявленный способ маскирования структуры сети связи, в которой приняты следующие обозначения:FIG. 4 shows a block diagram of a sequence of actions that implement the claimed method of masking the structure of a communication network, in which the following designations are adopted:

СБ - сервер безопасности;SB - security server;

[IP] - структурный массив;[IP] - structural array;

Figure 00000079
- массив памяти для хранения значения интенсивности
Figure 00000080
IP-пакетов маскирующих сообщений, направленных отправителем получателю для каждого маскирующего маршрута связи
Figure 00000081
Figure 00000079
- memory array for storing intensity values
Figure 00000080
IP packets of masking messages directed by the sender to the receiver for each masking communication route
Figure 00000081

Figure 00000082
- массив памяти для хранения значения интенсивности
Figure 00000083
IP-пакетов маскирующих сообщений, не терминированных на узле-терминаторе и полученных принимающим абонентом для каждого маскирующего маршрута связи
Figure 00000084
;
Figure 00000082
- memory array for storing intensity values
Figure 00000083
IP packets of masking messages not terminated at the terminator node and received by the receiving subscriber for each masking communication route
Figure 00000084
;

Figure 00000085
- массив памяти для хранения значения коэффициента результативности
Figure 00000086
терминации IP-пакетов маскирующих сообщений маскирующего маршрута связи
Figure 00000087
;
Figure 00000085
- an array of memory for storing the value of the performance coefficient
Figure 00000086
termination of IP packets masking messages masking communication route
Figure 00000087
;

Figure 00000088
- массив памяти для хранения вычисленных значений максимально возможной длины MTU IP-пакета сообщений, который может быть передан без фрагментации узлами сети связи;
Figure 00000088
- an array of memory for storing the calculated values of the maximum possible MTU length of the IP-packet of messages, which can be transmitted without fragmentation by the nodes of the communication network;

Figure 00000089
- массив памяти для хранения вычисленных значений длины
Figure 00000090
каждого маскирующего маршрута связи
Figure 00000091
;
Figure 00000089
- memory array for storing calculated length values
Figure 00000090
each masking communication route
Figure 00000091
;

[Tij] - массив памяти для хранения текущего значения астрономического времени и значения времени окончания

Figure 00000092
передачи маскирующих сообщений для каждого маскирующего маршрута связи
Figure 00000093
;[T ij ] - memory array for storing the current astronomical time value and the end time value
Figure 00000092
transmission of masking messages for each masking communication route
Figure 00000093
;

Х - число узлов сети связи;X is the number of nodes in the communication network;

Y - число учитываемых параметров безопасности узлов сети; bxy - значение у-го параметра безопасности х-го узла сети, где х=1,2,…,X, у=1,2,…,Y;Y is the number of taken into account security parameters of network nodes; b xy is the value of the y-th security parameter of the x-th network node, where x = 1,2,…, X, y = 1,2,…, Y;

Figure 00000094
- комплексный показатель безопасности каждого х-го узла сети;
Figure 00000094
- a comprehensive indicator of the safety of each x-th node of the network;

Figure 00000095
- средний показатель безопасности маршрута связи между i-м и j-м абонентами сети;
Figure 00000095
is the average safety indicator of the communication route between the i-th and j-th network subscribers;

Figure 00000096
- допустимое значение среднего показателя безопасности маршрута связи между i-м и j-м абонентами сети;
Figure 00000096
- admissible value of the average indicator of the safety of the communication route between the i-th and j-th network subscribers;

Nij - количество деревьев графа сети связи, соответствующее совокупности возможных маршрутов связи между i-м и j-м абонентами сети, где i=1, 2,…, j=1, 2,…, и i≠j;N ij is the number of trees in the communication network graph corresponding to the set of possible communication routes between the i-th and j-th network subscribers, where i = 1, 2,…, j = 1, 2,…, and i ≠ j;

Figure 00000097
- количество допустимых маршрутов между i-м и j-м абонентами сети;
Figure 00000097
- the number of admissible routes between the i-th and j-th network subscribers;

Figure 00000098
- количество маскирующих маршрутов между i-м и j-м абонентами сети;
Figure 00000098
- the number of masking routes between the i-th and j-th network subscribers;

Lf - длина f-го фрагмента маскирующего сообщения;L f is the length of the f-th fragment of the masking message;

Figure 00000099
- длина маскирующего маршрута связи
Figure 00000100
;
Figure 00000099
- the length of the masking communication route
Figure 00000100
;

Figure 00000101
- значение коэффициента результативности терминации IP-пакетов маскирующих сообщений маскирующего маршрута связи
Figure 00000102
;
Figure 00000101
is the value of the efficiency factor for the termination of IP packets of masking messages of the masking communication route
Figure 00000102
;

Figure 00000103
- значение допустимого коэффициента результативности терминации IP-пакетов маскирующих сообщений маскирующего маршрута связи
Figure 00000104
;
Figure 00000103
is the value of the permissible coefficient of effectiveness of the termination of IP packets of masking messages of the masking communication route
Figure 00000104
;

GT - узел-терминатор IP-пакетов маскирующих сообщений.G T - node-terminator of IP packets of masking messages.

На начальном этапе в сервере безопасности задают исходные данные (бл. 1 на фиг. 4), включающие структурный массив [IP], адрес сервера безопасности IРСБ и адреса абонентов IPa, подключенных к сети связи, массив памяти

Figure 00000105
для хранения вычисленных значений максимально возможной длины MTU IP-пакета сообщений, который может быть передан без фрагментации узлами сети связи, принадлежащими маскирующему маршруту связи
Figure 00000106
, массив памяти
Figure 00000107
для хранения значения интенсивности
Figure 00000108
IP-пакетов маскирующих сообщений, направленных отправителем получателю для каждого маскирующего маршрута связи
Figure 00000109
, массив памяти
Figure 00000110
для хранения значения интенсивности
Figure 00000111
IP-пакетов маскирующих сообщений, не терминированных на узле-терминаторе и полученных принимающим абонентом для каждого маскирующего маршрута связи
Figure 00000112
, массив памяти
Figure 00000113
для хранения значения коэффициента результативности
Figure 00000114
терминации IP-пакетов маскирующих сообщений маскирующего маршрута связи
Figure 00000115
, массив памяти
Figure 00000116
для хранения вычисленных значений длины
Figure 00000117
каждого маскирующего маршрута связи
Figure 00000115
, массив памяти [Tij] для хранения текущего значения Ттек астрономического времени и значения времени окончания
Figure 00000118
передачи маскирующих сообщений для каждого маскирующего маршрута связи
Figure 00000119
.At the initial stage, the initial data is set in the security server (block 1 in Fig. 4), including the structural array [IP], the address of the security server IP SB and the addresses of IP subscribers a connected to the communication network, the memory array
Figure 00000105
for storing the calculated values of the maximum possible MTU length of an IP message packet that can be transmitted without fragmentation by the communication network nodes belonging to the masking communication route
Figure 00000106
, memory array
Figure 00000107
to store the intensity value
Figure 00000108
IP packets of masking messages directed by the sender to the receiver for each masking communication route
Figure 00000109
, memory array
Figure 00000110
to store the intensity value
Figure 00000111
IP packets of masking messages not terminated at the terminator node and received by the receiving subscriber for each masking communication route
Figure 00000112
, memory array
Figure 00000113
to store the value of the performance factor
Figure 00000114
termination of IP packets masking messages masking communication route
Figure 00000115
, memory array
Figure 00000116
for storing computed length values
Figure 00000117
each masking communication route
Figure 00000115
, a memory array [T ij ] for storing the current value of T tech astronomical time and the end time value
Figure 00000118
transmission of masking messages for each masking communication route
Figure 00000119
...

Для каждого х-го узла сети, где х=1,2,…,Х, задают Y≥2 параметров безопасности и их значения bxy, где y=1,2,…,Y. Задают допустимое значение

Figure 00000120
среднего показателя безопасности маршрута. Перечисленные исходные данные представлены таблицами на фиг. 5.For each x-th node of the network, where x = 1,2, ..., X, set Y≥2 security parameters and their values b xy , where y = 1,2, ..., Y. Set a valid value
Figure 00000120
average route safety. The listed raw data are presented in the tables in FIG. 5.

Структурный массив [IP] - массив для хранения адреса сервера безопасности IРСБ, адресов узлов IPУС и абонентов IPa сети, а также информации о наличии связи между ними (фиг. 5а), которая характеризуется только двумя значениями, «1» - наличие связи и «0» - ее отсутствие.Structural array [IP] - array to store the security server address Sa IP, IP CSS node addresses and subscriber IP a network, and information of a link between them (Figure 5a.) Having only two values, "1" - the presence of connection and "0" - its absence.

Параметры безопасности узлов сети определяют, например, в соответствии с ГОСТРИСО/МЭК 15408-2002 «Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий». Значения bx1 параметра у=1 безопасности узлов сети определяют, например, по характеристикам производителей оборудования узлов сети, информацию о которых можно получить из физических адресов узлов сети. Физические адреса узлов сети представляют в виде шестнадцатеричной записи, например 00:10:5a:3F:D4:E1, где первые три значения определяют производителя (00:01:е3-Siemens, 00:10:5а - 3Com, 00:03:ba-Sun).Security parameters of network nodes are determined, for example, in accordance with GOSTRISO / IEC 15408-2002 "Methods and means of ensuring security. Information Technology Security Assessment Criteria ". The values b x1 of the parameter y = 1 of the security of the network nodes are determined, for example, by the characteristics of the equipment manufacturers of the network nodes, information about which can be obtained from the physical addresses of the network nodes. The physical addresses of the hosts are represented in hexadecimal notation, for example 00: 10: 5a: 3F: D4: E1, where the first three values determine the manufacturer (00: 01: e3-Siemens, 00: 10: 5a - 3Com, 00:03: ba-Sun).

Альтернативным способом определения параметров безопасности узлов является получение данных по разведке злоумышленника от соответствующих подразделений.An alternative way to determine the security parameters of the nodes is to obtain intelligence data from the attacker from the appropriate units.

Например, для УС 1 (х=1 на фиг. 5а) физический адрес которого 00:01:e3:3F:D4:E1, первые три значения определяют производителя Siemens, что соответствует значению параметра безопасности b11=0,3. Аналогично определяются значения bxy параметра у=1 безопасности узлов сети УС2-УС5, а так же значения bxy всех заданных Y≥2 параметров безопасности (фиг. 5б).For example, for DC 1 (x = 1 in Fig. 5a) whose physical address is 00: 01: e3: 3F: D4: E1, the first three values determine the manufacturer Siemens, which corresponds to the value of the security parameter b 11 = 0.3. Similarly, the values b xy of the parameter y = 1 of the security of the nodes of the US2-US5 network are determined, as well as the values b xy of all given Y≥2 security parameters (Fig. 5b).

В качестве остальных параметров безопасности узла сети можно рассматривать тип его оборудования, версию установленного на нем программного обеспечения, принадлежность узла государственной или частной организации и другие известные сведения.The other security parameters of a host can be considered the type of its equipment, the version of the software installed on it, whether the host belongs to a public or private organization, and other known information.

Для каждого х-го узла сети по значениям bxy его параметров безопасности вычисляют комплексный показатель безопасности

Figure 00000121
(бл. 2 на фиг. 4). Рассчитанные показатели представлены в таблице (фиг. 5в).For each x-th node of the network, according to the values b xy of its security parameters, a complex security indicator is calculated
Figure 00000121
(block 2 in Fig. 4). The calculated indicators are presented in the table (Fig. 5c).

Комплексный показатель безопасности

Figure 00000121
для каждого х-го узла сети вычисляют путем суммирования
Figure 00000122
, или перемножения
Figure 00000123
, или как среднее арифметическое значение
Figure 00000124
его параметров безопасности bxy.Comprehensive safety indicator
Figure 00000121
for each x-th network node is calculated by summing
Figure 00000122
, or multiplication
Figure 00000123
, or as the arithmetic mean
Figure 00000124
its security parameters b xy .

Принципиально способ вычисления

Figure 00000121
не влияет на результат выбора безопасного маршрута. Например, значения вычисленных комплексных показателей безопасности
Figure 00000121
для каждого х-го узла рассматриваемого варианта сети связи (фиг. 3) перечисленными способами при заданных значениях параметров безопасности bxy узлов приведены в таблице (фиг. 6а).Basically a way of calculating
Figure 00000121
does not affect the result of choosing a safe route. For example, the values of the calculated integrated safety indicators
Figure 00000121
for each x-th node of the considered version of the communication network (Fig. 3) by the listed methods for the given values of the security parameters b xy of the nodes are given in the table (Fig. 6a).

Кроме этого возможен утилитарный подход к определению комплексных показателей безопасности

Figure 00000121
для каждого х-го узла сети, когда их задают бинарно - опасный узел, либо безопасный узел, в последнем случае полагая, что его безопасность доказана, но количественные значения показателей безопасности недоступны лицам, принимающим решение на выбор маршрута.In addition, a utilitarian approach to the determination of complex safety indicators is possible.
Figure 00000121
for each x-th node of the network, when they are assigned a binary dangerous node, or a safe node, in the latter case, assuming that its safety has been proven, but the quantitative values of safety indicators are not available to persons who make decisions on choosing a route.

Далее формируют матрицу смежности вершин графа сети (бл. 3 на фиг. 4), для чего запоминают в структурном массиве (фиг. 5а) адреса узлов сети IРУС и адреса абонентов IPa сети, а также информацию о наличии связи между узлами и абонентами сети.Further formed adjacency matrix vertices network graph (bl. 3 in FIG. 4), which is stored in the structural array (FIG. 5a) addresses network nodes IP CSS and addresses of subscribers IP a network, and information of a link between the nodes and subscribers networks.

Способы формирования матриц смежности вершин графа известны (см., например, Басакер Р., Саати Т. Конечные графы и сети. - М.: Наука, 1973, 368 с.). Для рассматриваемого графа сети связи матрица смежности вершин имеет вид:Methods for forming the adjacency matrices of the vertices of a graph are known (see, for example, Basaker R., Saati T. Finite graphs and networks. - M .: Nauka, 1973, 368 pp.). For the considered communication network graph, the vertex adjacency matrix has the form:

Figure 00000125
Figure 00000125

Формируют совокупность возможных маршрутов связи между i-м и j-м абонентами сети (бл. 4 на фиг. 4), где i=1, 2,…, j=1,2,…, и i≠j, в виде Nij деревьев графа сети связи. Каждое n-ое, где n=1,2,…, Nij, дерево графа состоит из zn вершин, соответствующих количеству узлов сети. Порядок формирования деревьев графа известен и описан (см., например, Кристофидес Н. Теория графов: Алгоритмический подход. Пер. с англ. - М.: Мир, 1978, 432 с.).A set of possible communication routes between the i-th and j-th network subscribers is formed (block 4 in Fig. 4), where i = 1, 2, ..., j = 1,2, ..., and i ≠ j, in the form of N ij trees of the communication network graph. Each n-th, where n = 1,2, ..., N ij , the graph tree consists of z n vertices corresponding to the number of network nodes. The order of formation of graph trees is known and described (see, for example, Christofides N. Graph theory: Algorithmic approach. Transl. From English. - M .: Mir, 1978, 432 p.).

Общее число Nij деревьев графа сети связи между i-м и j-м абонентами сети может быть определено различными методами. В заявленном способе общее число Nij деревьев графа находят с использованием матрицы смежности по формуле:

Figure 00000126
где Bo=М×Н - преобразованная матрица смежности вершин графа сети связи, а М=Мр - 1, Н - соответственно число строк и столбцов матрицы, Мр - число строк исходной матрицы смежности, равное общему количеству узлов сети связи;
Figure 00000127
- транспонированная матрица к Bo. Удаляя одну строку матрицы В, получают матрицу Bo, а затем транспонированную к ней матрицу
Figure 00000127
. Порядок получения транспонированной матрицы известен и описан (см., например, Г. Корн, Т. Корн. Справочник по математике для научных работников и инженеров. - М.: Наука, 1977 г.).The total number N ij of trees of the communication network graph between the i-th and j-th network subscribers can be determined by various methods. In the claimed method, the total number N ij of the trees of the graph is found using the adjacency matrix by the formula:
Figure 00000126
where B o = M × H is the transformed adjacency matrix of the vertices of the communication network graph, and M = M p - 1, N is the number of rows and columns of the matrix, respectively, M p is the number of rows of the original adjacency matrix, equal to the total number of nodes in the communication network;
Figure 00000127
is the transposed matrix to B o . Removing one row of the matrix B, one obtains the matrix B o , and then the matrix transposed to it
Figure 00000127
... The procedure for obtaining a transposed matrix is known and described (see, for example, G. Korn, T. Korn. Handbook of mathematics for scientists and engineers. - M .: Nauka, 1977).

Построение маршрутов связи между абонентами на основе деревьев графа сети связи обеспечивает нахождение всех возможных маршрутов связи и их незамкнутость, т.е. исключает неприемлемые для передачи сообщений замкнутые маршруты. Таким образом, проведя расчеты, получаем общее число Nij деревьев графа сети связи между i-м и j-м абонентами сети, равное 5.The construction of communication routes between subscribers based on the trees of the communication network graph ensures that all possible communication routes are found and that they are not closed, i.e. excludes closed routes unacceptable for message transmission. Thus, after performing the calculations, we obtain the total number N ij of trees in the communication network graph between the i-th and j-th network subscribers, equal to 5.

Для обоснования и объективного выбора допустимых и маскирующих маршрутов связи из совокупности Nij=5 возможных маршрутов связи между i-м и j-м абонентами сети вычисляют средние показатели безопасности

Figure 00000128
(бл. 5 на фиг. 4) как среднее арифметическое комплексных показателей безопасности
Figure 00000129
узлов сети, входящих в n-ый маршрут связи
Figure 00000130
(см. фиг. 6б и фиг. 7).To substantiate and objectively select admissible and masking communication routes from the set of N ij = 5 possible communication routes between the i-th and j-th network subscribers, the average safety indicators are calculated
Figure 00000128
(block 5 in Fig. 4) as the arithmetic mean of complex safety indicators
Figure 00000129
network nodes included in the n-th communication route
Figure 00000130
(see Fig. 6b and Fig. 7).

Используя результаты, полученные при вычислении комплексных показателей безопасности узлов сети разными способами (фиг.6а), вычислены средние показатели безопасности

Figure 00000128
маршрутов связи сформированных между i-м и j-м абонентами сети (фиг. 7). Результаты сведены в таблицу (фиг.6б).Using the results obtained when calculating the integrated safety indicators of network nodes in different ways (Fig.6a), the average safety indicators were calculated
Figure 00000128
communication routes formed between the i-th and j-th network subscribers (Fig. 7). The results are tabulated (Fig.6b).

Далее сравнивают значения средних показателей безопасности маршрутов

Figure 00000131
с предварительно заданным допустимым значением
Figure 00000132
(бл. 6 на фиг. 4). Те маршруты, значения средних показателей безопасности которых удовлетворяют условию
Figure 00000133
, запоминают как допустимые маршруты
Figure 00000134
(бл. 7 на фиг. 4).Next, the values of the average safety indicators of routes are compared
Figure 00000131
with a predefined allowable value
Figure 00000132
(block 6 in Fig. 4). Those routes, the values of the average safety indicators of which satisfy the condition
Figure 00000133
are remembered as valid routes
Figure 00000134
(block 7 in Fig. 4).

Пусть, например, задано значение

Figure 00000135
Из полученных результатов, приведенных на фиг. 6 и 7 следует, что первый, второй и третий маршруты n=1,2,3 имеют значения среднего показателя безопасности
Figure 00000136
удовлетворяющие этому требованию, и они выделены полужирным шрифтом. При анализе полученных расчетов средних показателей безопасности маршрутов выявлено что, способ вычисления
Figure 00000137
не влияет на результат выбора безопасного маршрута. Таким образом и формируют множество допустимых маршрутов между всеми абонентами сети.For example, let the value
Figure 00000135
From the results obtained, shown in FIG. 6 and 7 it follows that the first, second and third routes n = 1,2,3 have the values of the average safety index
Figure 00000136
satisfying this requirement, and they are in bold. When analyzing the obtained calculations of the average safety indicators of routes, it was revealed that the calculation method
Figure 00000137
does not affect the result of choosing a safe route. Thus, they form a set of valid routes between all network subscribers.

В том случае, если по результатам сравнения комплексных показателей безопасности маршрутов

Figure 00000138
с предварительно заданным допустимым значением
Figure 00000139
выявляют те маршруты, что удовлетворяют условию
Figure 00000140
, то такие маршруты запоминают как маскирующие
Figure 00000141
маршруты (бл. 8 на фиг. 4). При заданном
Figure 00000142
из полученныхIn the event that, based on the results of comparing complex indicators of route safety
Figure 00000138
with a predefined allowable value
Figure 00000139
identify routes that satisfy the condition
Figure 00000140
, then such routes are remembered as masking
Figure 00000141
routes (block 8 in fig. 4). For a given
Figure 00000142
from received

результатов, приведенных на фиг. 6 и 7 следует, что четвертый и пятый маршруты n=4,5 имеют значения среднего показателя безопасности, удовлетворяющие условию

Figure 00000143
. Их запоминают как маскирующие
Figure 00000144
, и используют для последующей передачи по ним маскирующих (ложных) сообщений и введения нарушителей в заблуждение относительно структуры сети связи.the results shown in FIG. 6 and 7 it follows that the fourth and fifth routes n = 4.5 have values of the average safety index that satisfy the condition
Figure 00000143
... They are remembered as disguises
Figure 00000144
, and are used for the subsequent transmission of masking (false) messages and misleading the offenders regarding the structure of the communication network.

В том случае, если по результатам сравнения комплексных показателей безопасности маршрутов

Figure 00000145
с предварительно заданным допустимым значением
Figure 00000146
маршруты, что удовлетворяют условию
Figure 00000147
не выявлены, то для выбора маскирующих маршрутов необходимо снизить требования к допустимому значению среднего показателя безопасности маршрута связи между i-м и j-м абонентами сети.In the event that, based on the results of comparing complex indicators of route safety
Figure 00000145
with a predefined allowable value
Figure 00000146
routes that satisfy the condition
Figure 00000147
are not identified, then for the choice of masking routes it is necessary to reduce the requirements for the admissible value of the average safety indicator of the communication route between the i-th and j-th network subscribers.

Известные протоколы маршрутизации (routing protocols), такие как RIP, OSPF, NLSP, BGP предназначены для передачи пользовательской информации с маршрутизацией от источника (source specified routing) и обеспечивают в способе обмен информацией по заданному маршруту (см., например, Олифер В.Г. и Олифер Н.А. «Компьютерные сети. Принципы, технологии, протоколы.», уч. для Вузов, 5-е изд.; - СПб.: Питер, 2015). Таким образом, у абонентов имеется возможность передачи сообщений именно по заданному маршруту.Well-known routing protocols, such as RIP, OSPF, NLSP, BGP, are designed to transfer user information with source specified routing and provide a way to exchange information along a given route (see, for example, Olifer V.G. and Olifer N.A. "Computer networks. Principles, technologies, protocols.", study for universities, 5th ed .; - SPb .: Peter, 2015). Thus, subscribers have the ability to send messages exactly along a given route.

Вычисляют длину

Figure 00000148
каждого маскирующего маршрута
Figure 00000149
посредством суммирования количества узлов сети связи между i-м и j-м абонентами и запоминают вычисленные значения в массиве памяти
Figure 00000150
(бл. 9 на фиг. 4).Calculate the length
Figure 00000148
each cloaking route
Figure 00000149
by summing the number of communication network nodes between the i-th and j-th subscribers and store the calculated values in the memory array
Figure 00000150
(block 9 in Fig. 4).

После вычисления длины

Figure 00000151
каждого маскирующего маршрута
Figure 00000152
вычисляют (бл. 10 на фиг. 4) значения MTU каждого узла сети, принадлежащего маскирующему маршруту
Figure 00000153
и запоминают их в массиве памяти
Figure 00000154
(бл. 11 на фиг. 4). В каждом канале сети связи (определяют по передающему интерфейсу узла сети - маршрутизатора) есть максимальный размер передаваемого блока данных (MTU, Maximum Transmission Unit). MTU - это максимально возможная длина дейтаграммы, которую та или иная технология может поместить в поле данных своей единицы передачи [Олифер В.Г., Олифер Н.А. Компьютерные сети. Принципы, технологии, протоколы: учебник для вузов. - СПб.: Питер, 2003. - 864 с.: ил.]. Передача между узлами сети пакетов сообщений с длиной, большей MTU, без фрагментации невозможна. Значение MTU определяется стандартом соответствующего протокола, но может быть переопределено автоматически для определенного потока.After calculating the length
Figure 00000151
each cloaking route
Figure 00000152
calculate (block 10 in Fig. 4) the MTU values of each network node belonging to the masking route
Figure 00000153
and store them in a memory array
Figure 00000154
(block 11 in Fig. 4). Each channel of the communication network (determined by the transmitting interface of the network node - router) has a maximum size of the transmitted data unit (MTU, Maximum Transmission Unit). MTU is the maximum possible datagram length that a particular technology can place in the data field of its transmission unit [Olifer V.G., Olifer N.A. Computer networks. Principles, technologies, protocols: a textbook for universities. - SPb .: Peter, 2003. - 864 p .: ill.]. Transmission between network nodes of message packets with a length exceeding the MTU is impossible without fragmentation. The MTU value is determined by the standard of the corresponding protocol, but can be overridden automatically for a specific stream.

Для вычисления значения MTU каждого узла сети, принадлежащего маскирующему маршруту, применяют процедуру Path MTU Discovery, как это описано, например, в технических спецификациях (RFC, Request for Comments) сети Интернет (см., например, https://tools.ietf.org/html/rfc1191). Другим вариантом вычисления значения MTU каждого узла сети, принадлежащего маскирующему маршруту, является применение процедуры установления связи с каждым узлом сети, для чего отправляют каждому узлу сети 7ХУЛпакеты сообщений с установленным флагом SYN служебного поля FLAGS в заголовке TCP-пакета сообщений (см., например, https://tools.ietf.org/html/rfc4413). После этого принимают ответный пакет сообщений, содержащий сегмент Maximum Segment Size поля опций заголовка TCP-пакета сообщений, считывают его значение и добавляют к этому значению значение длины заголовка IP-пакета сообщений. В качестве значения сегмента Maximum Segment Size абонент записывает максимально допустимую длину данных, которые он готов принять, и для фрагмента маскирующих сообщений абонент устанавливает это значение относительно малым так, чтобы оно было меньше любого MTU на протяжении маскирующего маршрута между отправляющей и принимающей стороной.The Path MTU Discovery procedure is used to calculate the MTU value of each host belonging to the masking route, as described, for example, in the Internet technical specifications (RFC, Request for Comments) (see, for example, https: //tools.ietf. org / html / rfc1191). Another option for calculating the MTU value of each network node belonging to the masking route is to use the procedure for establishing a connection with each network node, for which each network node 7XUL is sent message packets with the SYN flag set in the FLAGS service field in the TCP message packet header (see, for example, https://tools.ietf.org/html/rfc4413). After that, a response message packet containing the Maximum Segment Size segment of the options field of the TCP-message packet header is received, its value is read, and the value of the IP-message packet header length is added to this value. As the value of the Maximum Segment Size, the subscriber records the maximum allowable length of data that he is ready to receive, and for the fragment of masking messages, the user sets this value relatively small so that it is less than any MTU along the masking route between the sending and receiving sides.

Рассчитанные значения MTU каждого узла сети представлены в таблице (фиг.5 г).The calculated MTU values of each network node are presented in the table (Fig.5 d).

Для передачи маскирующих (ложных) сообщений и введения нарушителей в заблуждение относительно структуры сети связи выбирают для каждого маскирующего маршрута связи GT узел-терминатор GT IP-пакетов маскирующих сообщений и запоминают его (бл. 12 на фиг. 4).To transmit masking (false) messages and mislead the intruders about the structure of the communication network, for each masking communication route G T, a terminator node G T of IP packets of masking messages is selected and stored (block 12 in Fig. 4).

Под термином «узел-терминатор маскирующих сообщений» понимают узел сети, принадлежащий маскирующему маршруту связи, который прекращает дальнейшую передачу пакетов маскирующих сообщений, если длина g-го фрагмента сообщения больше принятого на узле-терминатореThe term "node-terminator of masking messages" means a network node belonging to the masking communication route, which stops further transmission of packets of masking messages if the length of the g-th message fragment is greater than that received at the terminator node

значения MTU. При сравнении длины Lf f-го фрагмента сообщения с принятым значением MTU узла-терминатора GT IP-пакетов маскирующих сообщений учитывают длину служебной части пакета сообщения, добавляемую при передаче адресату к каждому пакету сообщений.MTU values. When comparing the length of L f f-th message fragment with the received MTU value of the terminator node G T of IP packets of masking messages, the length of the service part of the message packet is taken into account, which is added to each message packet during transmission to the addressee.

Выбор узла-терминатора GT IP-пакетов маскирующих сообщений необходим для того, чтобы улучшить показатель своевременности доставки пакетов сообщений принимающему абоненту. Этого достигают тем, что пакеты маскирующих сообщений не будут доставляться принимающему абоненту (если он не является ложным - см. Абf 8 фиг. 1б), а будут уничтожаться на узле-терминаторе. Например, для структуры, показанной на фиг. 1а, если пакеты маскирующих сообщений передают между абонентами Абj и Абi по маскирующему маршруту через узлы сети УС3, УС4 и УС1, то нарушитель перехватит анализаторами протоколов 7 пакеты маскирующих сообщений из УС4 и канала (линии) связи между УС3 и УС4, а пакеты маскирующих сообщений будут уничтожены на выбранном в качестве узла-терминатора УС1. В результате принимающий абонент Абi не будет перегружен маскирующими сообщениями, и показатель своевременности доставки ему конструктивных (не маскирующих) сообщений будет улучшен.The choice of a terminator node G T of IP packets of masking messages is necessary in order to improve the indicator of the timeliness of delivery of message packets to the receiving subscriber. This is achieved by the fact that packets of masking messages will not be delivered to the receiving subscriber (if it is not false - see Abf 8 of Fig. 1b), but will be destroyed at the terminator node. For example, for the structure shown in FIG. 1a, if packets of masking messages are transmitted between subscribers Abj and Abi along a masking route through the nodes of the network US3, US4 and US1, then the intruder will intercept by protocol analyzers 7 packets of masking messages from US4 and the communication channel (line) between US3 and US4, and packets of masking messages will be destroyed on the US1 selected as the terminator node. As a result, the receiving subscriber Abi will not be overloaded with masking messages, and the indicator of the timely delivery of constructive (non-masking) messages to him will be improved.

В том случае, если принимающий абонент является ложным, то в качестве узла-терминатора GT IP-пакетов маскирующих сообщений выбирают принимающего абонента.In the event that the receiving subscriber is false, then the receiving subscriber is selected as the terminator node G T of the IP packets of masking messages.

Затем считывают и запоминают (бл. 13 на фиг. 4) из массива памяти

Figure 00000155
значение MTU узла-терминатора GT IP-пакетов маскирующих сообщений.Then read and store (block 13 in Fig. 4) from the memory array
Figure 00000155
the MTU value of the terminator node G T of IP packets of masking messages.

Далее формируют сообщения, включающие информацию о запомненных маскирующих маршрутах связи

Figure 00000156
и значениях MTU узлов-терминаторов GT IP-пакетов маскирующих сообщений, отправляют сформированные сообщения абонентам сети (бл. 14 на фиг. 4) и принимают их i-ми абонентами сети (бл. 15 на фиг. 4).Next, messages are generated, including information about the stored masking communication routes
Figure 00000156
and MTU values of terminator nodes G T of IP packets of masking messages, the generated messages are sent to network subscribers (block 14 in Fig. 4) and received by the i-th network subscribers (block 15 in Fig. 4).

Таким образом, каждого абонента сети уведомляют о маскирующих маршрутах ко всем остальным абонентам, а также о значениях MTU, которые необходимо устанавливать для маскирующих сообщений, чтобы они уничтожались на выбранном узле-терминаторе каждого маскирующего маршрута.Thus, each network subscriber is notified of the masking routes to all other subscribers, as well as the MTU values that must be set for the masking messages so that they are destroyed at the selected terminator node of each masking route.

Затем после отправки сформированных сообщений всем i-м абонентам сети, и приема сообщений абонентами сети, формируют маскирующие сообщения (бл. 16 на фиг. 4).Then, after sending the generated messages to all i-th network subscribers, and receiving messages by the network subscribers, masking messages are generated (block 16 in Fig. 4).

Для формирования маскирующих сообщений генерируют ложные исходные пакеты данных, в информационную часть которых записывают случайную или произвольную цифровую последовательность (случайную последовательность сигналов логический «0» и логическая «1»).To generate masking messages, false initial data packets are generated, in the information part of which a random or arbitrary digital sequence is written (a random sequence of signals logical "0" and logical "1").

После формирования маскирующих сообщений, содержащих маскирующую информацию, фрагментируют (бл. 17 на фиг. 4) маскирующие сообщения на F фрагментов. Фрагментация маскирующих сообщений необходима для уменьшения среднего времени нахождения в очереди конструктивных (немаскирующих) пакетов, имеющих больший приоритет при отправке в сеть. Однако фрагментированные маскирующие сообщения могут иметь длину меньшую, чем MTU узла-терминатора. Для устранения этого противоречия необходимо сравнивать (бл. 18 на фиг. 4) длину Lf каждого f-го фрагмента с принятым значением MTU узла-терминатора GT IP-пакетов маскирующих сообщений. Сравнение необходимо для того, чтобы определить, будет ли уничтожен пакет маскирующего сообщения на узле-терминаторе. При сравнении длины Lf каждого f-го фрагмента с принятым значением MTU узла-терминатора GT IP-пакетов маскирующих сообщений учитывают длину служебной части пакета сообщения, добавляемую при передаче адресату к каждому пакету сообщений. И в случае, если длина Lf f-го фрагмента больше принятого значения MTU узла-терминатора GT IP-пакетов маскирующих сообщений, то запрещают фрагментацию IP-пакета маскирующих сообщений при его передаче по сети связи (бл. 20 на фиг. 4) при его передаче по сети связи. Для запрещения фрагментации IP-пакета сообщений при его передаче по сети связи устанавливают в единицу значение флага DF (Do not Fragment) «не фрагментировать» в заголовке IP-пакета сообщений. Установка этого флага в единицу означает запрет фрагментации (см., например, https://tools.ietf.org/html/rfc791) на узле-терминаторе, что приводит к запрету ретрансляции пакета сообщений дальше узла-терминатора.After the formation of masking messages containing masking information, the masking messages are fragmented (block 17 in Fig. 4) into F fragments. Fragmentation of masking messages is necessary to reduce the average time spent in the queue of constructive (non-masking) packets, which have a higher priority when sent to the network. However, fragmented masking messages can be shorter than the MTU of the terminator node. To eliminate this contradiction, it is necessary to compare (block 18 in Fig. 4) the length L f of each f-th fragment with the received MTU value of the terminator node G T of IP packets of masking messages. The comparison is necessary in order to determine whether the masking message packet will be destroyed at the terminator node. When comparing the length L f of each f-th fragment with the received MTU value of the terminator node G T of IP packets of masking messages, the length of the service part of the message packet is taken into account, which is added during transmission to the addressee to each message packet. And if the length L f f-th fragment is greater than the received MTU value of the terminator node G T of the IP packets of masking messages, then the fragmentation of the IP packet of masking messages is prohibited during its transmission over the communication network (block 20 in Fig. 4) when it is transmitted over a communication network. To prohibit fragmentation of an IP packet of messages during its transmission over a communication network, the value of the DF (Do not Fragment) flag in the header of the IP packet of messages is set to one. Setting this flag to one means the prohibition of fragmentation (see, for example, https://tools.ietf.org/html/rfc791) on the terminator node, which leads to the prohibition of relaying the message packet beyond the terminator node.

В противном случае, то есть если длина Lf f-го фрагмента меньше или равна принятого значения MTU узла-терминатора G маскирующих сообщений, то дефрагментируют маскирующие сообщения до значений длины Lf фрагментов большей принятого значения MTU узла-терминатора (бл. 19 на фиг. 4), для чего объединяют между собой два или более фрагмента маскирующих сообщений. Таким образом, за счет динамического изменения длины пакетов маскирующих сообщений, достигают уменьшения среднего времени ожидания в очереди пакетов сообщений у передающего абонента.Otherwise, that is, if the length L f f-th fragment is less than or equal to the received MTU value of the terminator node G of the masking messages, then defragment the masking messages to values of the length L f fragments greater than the received MTU value of the terminator node (block 19 in Fig. 4), for which two or more fragments of masking messages are combined together. Thus, by dynamically changing the length of the masking message packets, a decrease in the average waiting time in the queue of message packets at the transmitting subscriber is achieved.

Затем запоминают в массив памяти [Tij] текущее значения Tтек астрономического времени и значения времени окончания

Figure 00000157
передачи маскирующих сообщений для каждого маскирующего маршрута связи
Figure 00000158
(бл. 21 на фиг. 4) и передают сформированные маскирующие сообщения по маскирующим маршрутам связи
Figure 00000159
(бл. 22 на фиг. 4). Запоминание значений астрономического времени и времени окончания передачи маскирующих сообщений требуется для вычисления интенсивностей
Figure 00000160
и
Figure 00000161
необходимых для вычисления коэффициента результативности терминации
Figure 00000162
IP-пакетов маскирующих сообщений.Then, the current values of T tech astronomical time and the end time values are stored in the memory array [T ij ]
Figure 00000157
transmission of masking messages for each masking communication route
Figure 00000158
(block 21 in Fig. 4) and transmit the generated masking messages along masking communication routes
Figure 00000159
(block 22 in Fig. 4). Memorizing the values of the astronomical time and the end time of transmission of masking messages is required to calculate the intensities
Figure 00000160
and
Figure 00000161
required to calculate the termination performance coefficient
Figure 00000162
IP packet masking messages.

Затем, после передачи сформированных маскирующих сообщений по маскирующим маршрутам связи

Figure 00000163
, вычисляют значение интенсивности
Figure 00000164
IP-пакетов маскирующих сообщений, направленных i-м отправителем j-му получателю для каждого маскирующего маршрута связи
Figure 00000165
(бл. 23 на фиг. 4), запоминают значение интенсивности
Figure 00000166
IP-пакетов маскирующих сообщений в массиве памяти
Figure 00000167
(бл. 24 на фиг. 4).Then, after the transmission of the generated masking messages along masking communication routes
Figure 00000163
, calculate the value of the intensity
Figure 00000164
IP packets of masking messages sent by the i-th sender to the j-th recipient for each masking communication route
Figure 00000165
(block 23 in Fig. 4), store the value of the intensity
Figure 00000166
IP packet masking messages in memory array
Figure 00000167
(block 24 in Fig. 4).

Вычисляют значение интенсивности

Figure 00000168
IP-пакетов маскирующих сообщений, не терминированных на узле-терминаторе и полученных принимающим абонентом для каждого маскирующего маршрута связи
Figure 00000169
(бл. 25 на фиг. 4), далее запоминают значение интенсивности
Figure 00000170
IP-пакетов маскирующих сообщений в массиве памяти
Figure 00000171
(бл. 26 на фиг. 4).Calculate the intensity value
Figure 00000168
IP packets of masking messages not terminated at the terminator node and received by the receiving subscriber for each masking communication route
Figure 00000169
(block 25 in Fig. 4), then the intensity value is stored
Figure 00000170
IP packet masking messages in memory array
Figure 00000171
(block 26 in Fig. 4).

Ненулевое значение

Figure 00000172
может быть вызвано неверным выбором значений MTU IP-пакетов маскирующих сообщений или отказами (сбоями) их терминации на узле-терминаторе. Кратковременные или систематические отказы (сбои) терминации могут быть вызваны следующими причинами:Nonzero value
Figure 00000172
can be caused by an incorrect choice of MTU values of IP packets of masking messages or refusals (failures) of their termination at the terminator node. Short-term or systematic termination failures (failures) can be caused by the following reasons:

воздействием случайных (непреднамеренных) помех, таких как природные и техногенные факторы, приводящими к отказам (сбоям) терминации маскирующих сообщений на узле-терминаторе;the impact of random (unintentional) interference, such as natural and man-made factors, leading to failures (failures) of termination of masking messages at the terminator node;

целенаправленными деструктивными воздействиямиtargeted destructive influences

злоумышленников на элементы сети связи общего пользования, приводящими к изменению значений показателей безопасности узлов сети связи и отказам (сбоям) терминации маскирующих сообщений на узле-терминаторе;attackers on the elements of the public communication network, leading to a change in the values of the security indicators of the nodes of the communication network and failures (failures) of termination of masking messages at the terminator node;

снижением достоверности выбора узлов-терминаторов маскирующих сообщений, вызванным изменением маскирующего маршрута оператором связи сети связи общего пользования или масштабированием структуры сети связи (появлением новых абонентов).a decrease in the reliability of the choice of terminator nodes for masking messages caused by a change in the masking route by a communication operator of a public communication network or scaling of the communication network structure (the appearance of new subscribers).

Для обеспечения снижения вероятности ухудшения показателя своевременности доставки пакетов сообщений принимающему абоненту при высокой интенсивности пакетов маскирующих сообщений после мониторинга сбоев (отказов) терминации пакетов маскирующих сообщений на узле-терминаторе вычисляют коэффициент результативности терминации

Figure 00000173
IP-пакетов маскирующих сообщений для каждого маскирующего маршрута связи
Figure 00000174
(бл. 27 на фиг. 4) и запоминают значение коэффициента результативности терминации
Figure 00000175
IP-пакетов маскирующих сообщений в массиве памяти
Figure 00000176
(бл. 28 на фиг. 4). Значение коэффициента результативности терминации
Figure 00000177
IP-пакетов маскирующих сообщений для каждого маскирующего маршрута связи
Figure 00000178
вычисляют по формуле
Figure 00000179
To ensure a decrease in the likelihood of deterioration of the indicator of the timeliness of delivery of message packets to the receiving subscriber at a high intensity of packets of masking messages after monitoring failures (refusals) of termination of packets of masking messages, the termination efficiency coefficient is calculated at the terminator node
Figure 00000173
IP packets of masking messages for each masking communication route
Figure 00000174
(block 27 in Fig. 4) and store the value of the termination efficiency coefficient
Figure 00000175
IP packet masking messages in memory array
Figure 00000176
(block 28 in Fig. 4). Termination efficiency coefficient value
Figure 00000177
IP packets of masking messages for each masking communication route
Figure 00000178
calculated by the formula
Figure 00000179

Далее сравнивают значения коэффициента результативности терминации

Figure 00000180
IP-пакетов маскирующих сообщений со значением допустимого коэффициента результативности терминации
Figure 00000181
IP-пакетов маскирующих сообщений (бл. 29 на фиг. 4).Next, the values of the termination performance coefficient are compared
Figure 00000180
IP packets of masking messages with the value of the permissible termination performance factor
Figure 00000181
IP packets of masking messages (block 29 in FIG. 4).

В случае, если

Figure 00000182
считывают значение длины
Figure 00000183
маскирующего маршрута связи
Figure 00000184
из массива памяти
Figure 00000185
(бл. 30 на фиг. 4), уменьшают значение длины
Figure 00000186
на единицу (бл. 31 на фиг. 4).If
Figure 00000182
read the length value
Figure 00000183
communication masking route
Figure 00000184
from memory array
Figure 00000185
(block 30 in Fig. 4), reduce the length
Figure 00000186
per unit (block 31 in Fig. 4).

Далее формируют сообщение, включающее информацию об уменьшенном на единицу значении длины

Figure 00000187
маскирующего маршрута связи
Figure 00000188
(бл. 32 на фиг. 4). Отправляют сервером безопасности сформированное сообщение i-му абоненту сети связи (бл. 33 на фиг. 4) и принимают сообщение, включающее информацию об уменьшенном на единицу значении длины
Figure 00000189
маскирующего маршрута связи
Figure 00000190
i-м абонентом сети связи (бл. 34 на фиг. 4). Устанавливают i-м абонентом сети связи в служебном поле «Time То Live» заголовка IP-пакета маскирующих сообщений, передаваемых от отправителя, значение, равное уменьшенному на единицу значению длины
Figure 00000191
маскирующего маршрута связи
Figure 00000192
(бл. 35 на фиг. 4). При использовании интернет-протокола 6 версии (IPν6) для передачи маскирующих сообщений используется служебное поле «Нор Limit», означающее количество ретрансляций IP-пакета на его пути следования от отправителя к получателю, значение которого устанавливают равное уменьшенному на единицу значению длины маскирующего маршрута связи.Next, a message is formed, including information about the length value reduced by one
Figure 00000187
communication masking route
Figure 00000188
(block 32 in Fig. 4). The security server sends the generated message to the i-th subscriber of the communication network (block 33 in Fig. 4) and receives a message including information about the length value reduced by one
Figure 00000189
communication masking route
Figure 00000190
i-th subscriber of the communication network (block 34 in Fig. 4). Set by the i-th subscriber of the communication network in the "Time To Live" service field of the header of the IP packet of masking messages transmitted from the sender, a value equal to the length value reduced by one
Figure 00000191
communication masking route
Figure 00000192
(block 35 in Fig. 4). When using Internet protocol version 6 (IPν6), the service field "Nor Limit" is used to transmit masking messages, which means the number of retransmissions of an IP packet on its path from the sender to the recipient, the value of which is set equal to the value of the masking route length reduced by one.

Далее переходят к передаче маскирующих сообщений по маскирующим маршрутам связи

Figure 00000193
(бл. 36 на фиг. 4).Next, proceed to the transmission of masking messages along masking communication routes
Figure 00000193
(block 36 in Fig. 4).

В противном случае, то есть если

Figure 00000194
переходят к передаче маскирующих сообщений по маскирующим маршрутам связи (бл. 36 на фиг. 4).Otherwise, that is, if
Figure 00000194
proceed to the transmission of masking messages along masking communication routes (block 36 in Fig. 4).

Далее сравнивают в массиве памяти [Tij] текущее значение Tтек астрономического времени и значение времени окончания

Figure 00000195
передачи маскирующих сообщений для каждого маскирующего маршрута связи
Figure 00000196
(бл. 37 на фиг. 4).Next, compare in the memory array [T ij ] the current value of T tech astronomical time and the value of the end time
Figure 00000195
transmission of masking messages for each masking communication route
Figure 00000196
(block 37 in Fig. 4).

При выполнении условия

Figure 00000197
формируют отчет, содержащий информацию о значении коэффициента результативности терминации
Figure 00000198
IP-пакетов маскирующих сообщений для каждого маскирующего маршрута связи
Figure 00000199
(бл. 38 на фиг. 4). Противном случае, то есть, если
Figure 00000200
изменяют исходные данные, содержащие информацию о структуре сети связи. Для внесения изменений в исходные данные, содержащие информацию о структуре сети связи, переходят к бл. 1 на фиг. 4.If the condition is met
Figure 00000197
generate a report containing information on the value of the termination performance coefficient
Figure 00000198
IP packets of masking messages for each masking communication route
Figure 00000199
(block 38 in Fig. 4). Otherwise, that is, if
Figure 00000200
change the original data containing information about the structure of the communication network. To make changes to the original data containing information about the structure of the communication network, go to bl. 1 in FIG. 4.

На фиг. 8 представлена иллюстрация схем связи абонентов и сервера безопасности по трем допустимым маршрутам n=1,2,3, выбранным с помощью описанного способа.FIG. 8 shows an illustration of the communication schemes of subscribers and the security server along three valid routes n = 1,2,3, selected using the described method.

На фиг. 9 представлена итоговая схема связи абонентов 1 Аб i и Аб j. Маскирующие маршруты 5 выделены пунктирной линией n=4,5. Допустимые маршруты 2 показаны сплошной линией. Наиболее вероятное нахождение нарушителя и компрометация маршрута связи - на маршрутах со средним показателем безопасности ниже допустимого значения

Figure 00000201
FIG. 9 shows the final communication scheme of subscribers 1 Ab i and Ab j. Masking routes 5 are marked with a dashed line n = 4.5. Valid routes 2 are shown with a solid line. The most probable finding of the intruder and the compromise of the communication route - on routes with an average safety index below the permissible value
Figure 00000201

Вычисление комплексных показатели безопасности

Figure 00000202
узлов и средних показателей безопасности маршрутов
Figure 00000203
дают основание для объективного выбора допустимых и маскирующих маршрутов связи между абонентами сети. В результате расчетов и маскирования структуры сети связи достигают исключение транзитных узлов сети, обладающих низким уровнем безопасности, который указывает на высокую вероятность несанкционированного перехвата передаваемых абонентами сообщений на маршруте, включающем, например, УС4, УС5. При передаче пакетов маскирующих сообщений между ложным Абf 8 абонентом и абонентом Абj по маскирующему маршруту №5 (n=5 на фиг. 7), в качестве узла-терминатора GT IP-пакетов маскирующих сообщений выбирают, например УСЗ, учитывая MTU канала связи между УСЗ и Аб/. Выбранные допустимые маршруты связи между i-м и j-м абонентами проходят через транзитные узлы сети, обладающие максимально высокими уровнями безопасности, что снижает вероятность перехвата злоумышленниками информационного обмена абонентов сети.Calculation of comprehensive safety indicators
Figure 00000202
nodes and average safety indicators of routes
Figure 00000203
provide a basis for an objective choice of acceptable and masking communication routes between network subscribers. As a result of calculations and masking the structure of the communication network, the elimination of transit network nodes with a low level of security is achieved, which indicates a high probability of unauthorized interception of messages transmitted by subscribers on a route including, for example, US4, US5. When transmitting packets of masking messages between the false Abf 8 subscriber and the subscriber Abj along the masking route No. 5 (n = 5 in Fig. 7), as the terminator node G T of IP packets of masking messages, for example, HSS is selected, taking into account the MTU of the communication channel between HSS and Ab /. The selected admissible communication routes between the i-th and j-th subscribers pass through transit nodes of the network with the highest levels of security, which reduces the likelihood of interception of information exchange of network subscribers by attackers.

Результативность сформулированного технического результата была проверена путем математического моделирования процессов мониторинга сбоев (отказов) терминации пакетов маскирующих сообщений на узле-терминаторе и адаптации параметров маскирующего маршрута связи за счет управления значениями служебного поля «Time То Live» заголовка IP-пакета маскирующих сообщений.The effectiveness of the formulated technical result was tested by mathematical modeling of the monitoring processes of failures (failures) of terminating packets of masking messages at the terminator node and adapting the parameters of the masking communication route by controlling the values of the "Time To Live" service field of the IP packet header of masking messages.

На фиг. 10а представлен размеченный граф состояний моделируемой системы. Ниже перечислены необходимые для математического моделирования состояния S1 - S5 мониторинга сбоев (отказов) терминации пакетов маскирующих сообщений на узле-терминаторе и адаптации параметров маскирующего маршрута связи:FIG. 10a shows a labeled state graph of the simulated system. The following lists the necessary for mathematical modeling of the state S 1 - S 5 for monitoring failures (failures) of the termination of packets of masking messages at the terminator node and adapting the parameters of the masking communication route:

S1 - вычисление коэффициента результативности терминации

Figure 00000204
IP-пакетов маскирующих сообщений;S 1 - calculation of the termination efficiency coefficient
Figure 00000204
IP packets of masking messages;

S2 - формирование сообщения, включающего информацию об уменьшенном на единицу значении длины

Figure 00000205
маскирующего маршрута связи
Figure 00000206
S 2 - generation of a message including information about the length value reduced by one
Figure 00000205
communication masking route
Figure 00000206

S3 - масштабирование структуры сети связи, вызванное появлением новых абонентов;S 3 - scaling of the structure of the communication network caused by the emergence of new subscribers;

S4 - изменение значений показателей безопасности узлов сети связи и отказы (сбои) терминации маскирующих сообщений на узле-терминаторе в результате целенаправленных деструктивных воздействий злоумышленников;S 4 - change in the values of security indicators of communication network nodes and failures (failures) of termination of masking messages at the terminator node as a result of targeted destructive actions of intruders;

S5 - изменение маскирующего маршрута оператором связи сети связи общего пользования, воздействие случайных (непреднамеренных) помех.S 5 - change of the masking route by the communication operator of the public communication network, the impact of random (unintentional) interference.

Моменты возможных переходов моделируемой сети связи при реализации маскирующего обмена из состояния в состояние неопределенны, случайны и происходят под действием событий, характеризующиеся их интенсивностями λ, являющимися важной характеристикой потоков событий и характеризующими среднее число событий, приходящееся на единицу времени. При построении и использовании математической модели задаются значения следующих интенсивностей событий:The moments of possible transitions of the simulated communication network during the implementation of masking exchange from state to state are uncertain, random and occur under the action of events, characterized by their intensities λ, which are an important characteristic of event flows and characterize the average number of events per unit time. When constructing and using a mathematical model, the following event intensities are set:

λ12 - интенсивность заявок на формирование сообщения, включающее информацию об уменьшенном на единицу значении длины

Figure 00000207
маскирующего маршрута связи
Figure 00000208
λ 12 is the intensity of requests for the formation of a message, including information about the length value reduced by one
Figure 00000207
communication masking route
Figure 00000208

λ21 - интенсивность заявок на вычисление коэффициента результативности терминации

Figure 00000209
IP-пакетов маскирующих сообщений;λ 21 is the intensity of applications for calculating the termination performance coefficient
Figure 00000209
IP packets of masking messages;

λ23 - интенсивность заявок на масштабирование структуры сети связи, вызванное появлением новых абонентов;λ 23 is the intensity of requests for scaling the structure of the communication network caused by the appearance of new subscribers;

λ24 - интенсивность целенаправленных деструктивные воздействия злоумышленников;λ 24 - the intensity of targeted destructive effects of intruders;

λ25 - интенсивность воздействия случайных (непреднамеренных) помех;λ 25 - the intensity of the impact of random (unintentional) interference;

λ31 - интенсивность заявок на вычисление коэффициента результативности терминации

Figure 00000210
при масштабировании структуры сети связи;λ 31 - the intensity of applications for calculating the termination performance coefficient
Figure 00000210
when scaling the structure of the communication network;

λ41 - интенсивность заявок на вычисление коэффициента результативности терминации

Figure 00000211
при целенаправленных деструктивных воздействий злоумышленников;λ 41 - the intensity of applications for calculating the termination performance coefficient
Figure 00000211
with targeted destructive actions of intruders;

λ51 - интенсивность заявок на вычисление коэффициента результативности терминации

Figure 00000212
при воздействии случайных (непреднамеренных) помех.λ 51 is the intensity of applications for calculating the termination performance coefficient
Figure 00000212
when exposed to accidental (unintentional) interference.

По размеченному графу состояний (фиг. 10а) согласно правилам, изложенным в книге Вентцель Е.С., Исследование операций: задачи, принципы, методология. - 2-е изд., стер. - М.: Наука. Гл. ред. физ.-мат. лит., 1988. - 208 с., составлены уравнения Колмогорова - дифференциальные уравнения с неизвестными функциями pi(t):According to the marked-up graph of states (Fig. 10a) according to the rules set forth in the book by ES Wentzel, Operations Research: Problems, Principles, Methodology. - 2nd ed., Erased. - M .: Science. Ch. ed. physical-mat. lit., 1988. - 208 p., Kolmogorov's equations are composed - differential equations with unknown functions p i (t):

Figure 00000213
Figure 00000213

Порядок решения таких уравнений известен, и описан, например, в книге Вержбицкий В.М., Основы численных методов: Учебник для вузов/ В.М. Вержбицкий. - М.: Высш. Шк., 2002. - 840 с. В процессе решения производится расчет приближенных значений рi для заданных значений интенсивностей событий λij=const (марковский однородный процесс), что позволяет получить числовую таблицу искомых решений p(t) на некотором интервале t∈[t0,t1] Расчет произведен с помощью пакета математическогоThe procedure for solving such equations is known, and is described, for example, in the book Verzhbitsky V.M., Fundamentals of Numerical Methods: Textbook for Universities / V.M. Verzhbitsky. - M .: Higher. School., 2002 .-- 840 p. In the process of solving, the approximate values of р i are calculated for the given values of the intensities of events λ ij = const (Markov homogeneous process), which makes it possible to obtain a numerical table of the sought solutions p (t) at a certain interval t∈ [t 0 , t 1 ]. mathematical package

программирования «MathCAD 15».programming "MathCAD 15".

Вероятностные и временные характеристики, описывающие состояния моделируемого процесса определяются значениями интенсивностей событий λij, в зависимости от следующих условий функционирования (ситуаций) сети связи.The probabilistic and temporal characteristics describing the states of the modeled process are determined by the values of the event intensities λ ij , depending on the following conditions of operation (situations) of the communication network.

Ситуация №1 - интенсивности масштабирования структуры сети связи и целенаправленных деструктивных воздействий злоумышленников минимальны, λ3141=min, интенсивность воздействия случайных (непреднамеренных) помех постоянна, λ51=const.Situation No. 1 - the intensity of scaling of the structure of the communication network and targeted destructive effects of intruders are minimal, λ 31 = λ 41 = min, the intensity of the impact of random (unintentional) interference is constant, λ 51 = const.

Результаты расчета зависимости вероятностей состояний от времени для значений интенсивностей событий, соответствующих ситуации №1 представлены на фиг. 10б. После установления в моделируемой системе стационарного режима финальная вероятность нахождения системы в состоянии S1 максимальна, регулярное воздействие случайных (непреднамеренных) помех после начального всплеска p2(t), характеризующего необходимость адаптации параметров маскирующего маршрута связи за счет управления значениями служебного поля «Time То Live» заголовка IP-пакета маскирующих сообщений не приводит к доминированию дестабилизирующих факторов.The results of calculating the dependence of the probabilities of states on time for the values of the intensities of events corresponding to situation No. 1 are presented in Fig. 10b. After establishing a stationary mode in the simulated system, the final probability of the system being in state S 1 is maximum, the regular impact of random (unintentional) interference after the initial burst p 2 (t), characterizing the need to adapt the parameters of the masking communication route by controlling the values of the service field “Time To Live »The IP packet header of the masking messages does not lead to the dominance of destabilizing factors.

Ситуация №2 - интенсивность масштабирования структуры сети связи постоянна, λ31=const, интенсивность целенаправленных деструктивных воздействий злоумышленников минимальна, λ41=min, интенсивность воздействия случайных (непреднамеренных) помех максимальна, λ51=max.Situation No. 2 - the intensity of scaling of the communication network structure is constant, λ 31 = const, the intensity of targeted destructive actions of intruders is minimal, λ 41 = min, the intensity of the impact of random (unintentional) interference is maximum, λ 51 = max.

Результаты расчета зависимости вероятностей состояний от времени для значений интенсивностей событий, соответствующих ситуации №2, представлены на фиг. 10в. После установления в моделируемой системе стационарного режима финальная вероятность нахождения системы в состоянии S2 существенно увеличивается, что характеризует адаптацию параметров маскирующего маршрута связи. Финальная вероятность нахождения системы в состоянии S1 минимальна. Снижение интенсивности воздействия случайных (непреднамеренных) помех λ51→min приводит к увеличению финальной вероятности нахождения системы в состоянии S1, то есть к ее адаптации за счет управления значениями служебного поля «Time То Live» заголовка IP-пакета маскирующих сообщений. Ухудшение показателя своевременности доставки пакетов сообщений принимающему абоненту при высокой интенсивности пакетов маскирующих сообщений устраняется за счет мониторинга сбоев (отказов) терминации пакетов маскирующих сообщений на узле-терминаторе.The results of calculating the dependence of the probabilities of states on time for the values of the intensities of events corresponding to situation No. 2 are presented in Fig. 10c. After establishing a stationary mode in the simulated system, the final probability of the system being in the S 2 state significantly increases, which characterizes the adaptation of the parameters of the masking communication route. The final probability of finding the system in state S 1 is minimal. A decrease in the intensity of the impact of random (unintentional) interference λ 51 → min leads to an increase in the final probability of the system being in the S 1 state, that is, to its adaptation due to the control of the values of the "Time To Live" service field of the IP packet header of masking messages. The deterioration of the indicator of the timeliness of delivery of message packets to the receiving subscriber at a high intensity of packets of masking messages is eliminated by monitoring failures (refusals) of terminating packets of masking messages at the terminator node.

Таким образом, в рассмотренном способе за счет мониторинга сбоев (отказов) терминации пакетов маскирующих сообщений на узле-терминаторе и адаптации параметров маскирующего маршрута связи к изменению структуры (параметров) сети связи достигают улучшения показателя своевременности доставки пакетов сообщений принимающему абоненту при высокой интенсивности пакетов маскирующих сообщений и повышения достоверности выбора узлов-терминаторов маскирующих сообщений.Thus, in the considered method, due to monitoring of failures (failures) in the termination of packets of masking messages at the terminator node and adapting the parameters of the masking communication route to changes in the structure (parameters) of the communication network, the indicator of the timeliness of delivery of message packets to the receiving subscriber is improved at a high intensity of packets of masking messages and increasing the reliability of the choice of masking message terminator nodes.

Claims (3)

1. Способ маскирования структуры сети связи, заключающийся в том, что для сети связи, содержащей совокупность из X узлов сети связи, имеющих адреса IPX, предварительно задают исходные данные, содержащие информацию о структуре сети связи, включающую структурный массив [IP], адрес сервера безопасности IРСБ и адреса абонентов IPa, подключенных к сети связи, задают для каждого х-го узла сети связи, где х=1, 2,…,X, совокупность Y параметров безопасности и их значения bxy, где y=1, 2,…,Y, допустимое значение
Figure 00000214
среднего показателя безопасности маршрута связи, массив памяти
Figure 00000215
для хранения вычисленных значений максимально возможной длины MTU пакета сообщений, который может быть передан без фрагментации узлами сети связи, принадлежащими маскирующему маршруту связи
Figure 00000216
, вычисляют комплексный показатель безопасности
Figure 00000217
для каждого х-го узла сети связи, формируют матрицу смежности вершин графа сети связи, для чего запоминают в структурном массиве [IP] адреса узлов сети связи IPУС и адреса абонентов сети связи IPa сети, а также информацию о наличии связи между узлами и абонентами сети связи, после чего формируют совокупность возможных маршрутов связи между i-м и j-м абонентами сети связи, где i=1, 2,…, j=1, 2,… и i≠j, в виде Nij деревьев графа сети связи, причем каждое n-е, где n=1, 2,…, Nij, дерево графа состоит из zn вершин, соответствующих количеству принадлежащих ему узлов сети связи, затем для каждого из Nij возможных маршрутов связи вычисляют средний показатель безопасности
Figure 00000218
маршрута связи как среднее арифметическое комплексных показателей безопасности
Figure 00000219
узлов сети связи, входящих в n-й маршрут связи, сравнивают значения средних показателей безопасности
Figure 00000220
маршрутов связи с предварительно заданным допустимым значением
Figure 00000221
, по результатам сравнения в случае, если
Figure 00000222
формируют допустимые маршруты связи
Figure 00000223
и запоминают их, в противном случае, то есть если
Figure 00000224
формируют маскирующие маршруты связи
Figure 00000225
и запоминают их, вычисляют значения MTU каждого узла сети связи, принадлежащего маскирующему маршруту связи
Figure 00000226
, и запоминают их в массиве памяти, выбирают для
Figure 00000227
каждого маскирующего маршрута связи узел-терминатор GT IP-пакетов маскирующих сообщений и запоминают его, считывают из массива памяти
Figure 00000228
значение MTU узла-терминатора GT IP-пакетов маскирующих сообщений и запоминают его, формируют сообщения, включающие информацию о запомненных маскирующих маршрутах связи
Figure 00000229
и значениях MTU узлов-терминаторов GT IP-пакетов маскирующих сообщений, отправляют сформированные сообщения о запомненных маскирующих маршрутах связи
Figure 00000230
, значениях MTU узлов-терминаторов GT IP-пакетов маскирующих сообщений и принимают их i-ми абонентами сети связи, формируют маскирующие сообщения, содержащие маскирующую информацию, фрагментируют маскирующие сообщения на F фрагментов, сравнивают длину Lf каждого f-го фрагмента с принятым значением MTU узла-терминатора GT IP-пакетов маскирующих сообщений, и в случае, если длина Lf f-го фрагмента меньше или равна принятого значения MTU узла-терминатора GT IP-пакетов маскирующих сообщений, дефрагментируют маскирующие сообщения до значений длины Lf фрагментов, большей принятого значения MTU узла-терминатора, в противном случае, то есть если длина Lf f-го фрагмента больше принятого значения MTU узла-терминатора GT IP-пакетов маскирующих сообщений, запрещают фрагментацию IP-пакета сообщений при его передаче по сети связи, затем сформированные маскирующие сообщения передают по маскирующим маршрутам связи
Figure 00000231
отличающийся тем, что дополнительно в исходные данные задают массив памяти
Figure 00000232
для хранения вычисленных значений длины
Figure 00000233
каждого маскирующего маршрута связи
Figure 00000234
массив памяти
Figure 00000235
для хранения значения интенсивности
Figure 00000236
маскирующих сообщений, направленных отправителем получателю для каждого маскирующего маршрута связи
Figure 00000237
массив памяти
Figure 00000238
для хранения значения интенсивности
Figure 00000239
маскирующих сообщений, не терминированных на узле-терминаторе и полученных принимающим абонентом для каждого маскирующего маршрута связи
Figure 00000240
массив памяти
Figure 00000241
для хранения результатов вычисления коэффициента результативности терминации
Figure 00000242
маскирующих сообщений для каждого маскирующего маршрута связи
Figure 00000243
, значение допустимого коэффициента результативности терминации
Figure 00000244
маскирующих сообщений и массив памяти [Tij] для хранения текущего значения Ттек астрономического времени и значения времени окончания
Figure 00000245
передачи маскирующих сообщений для каждого маскирующего маршрута связи
Figure 00000246
, и после запоминания маскирующих маршрутов связи
Figure 00000247
вычисляют длину
Figure 00000248
каждого маскирующего маршрута связи
Figure 00000249
, запоминают значение длины
Figure 00000250
каждого маскирующего маршрута связи в массив памяти
Figure 00000251
, а после запрета фрагментации IP-пакета сообщений при его передаче по сети связи запоминают в массиве памяти [Tij] текущее значение Ттек астрономического времени и значение времени окончания
Figure 00000252
передачи маскирующих сообщений для каждого маскирующего маршрута связи
Figure 00000253
, затем, после передачи сформированных маскирующих сообщений по маскирующим маршрутам связи
Figure 00000254
, вычисляют значение интенсивности
Figure 00000255
IP-пакетов маскирующих сообщений, направленных i-м отправителем j-му получателю для каждого маскирующего маршрута связи
Figure 00000256
, запоминают значение интенсивности
Figure 00000257
IP-пакетов маскирующих сообщений в массиве памяти
Figure 00000258
вычисляют значение интенсивности
Figure 00000259
IP-пакетов маскирующих сообщений, не терминированных на узле-терминаторе и полученных принимающим абонентом для каждого маскирующего маршрута связи
Figure 00000260
, запоминают значение интенсивности
Figure 00000261
IP-пакетов маскирующих сообщений в массиве памяти
Figure 00000262
вычисляют значение коэффициента результативности терминации
Figure 00000263
IP-пакетов маскирующих сообщений для каждого маскирующего маршрута связи
Figure 00000264
запоминают значение коэффициента результативности терминации
Figure 00000265
IP-пакетов маскирующих сообщений в массиве памяти
Figure 00000266
сравнивают значения коэффициента результативности терминации
Figure 00000267
IP-пакетов маскирующих сообщений со значением допустимого коэффициента результативности терминации
Figure 00000268
IP-пакетов маскирующих сообщений, и в случае, если
Figure 00000269
считывают значение длины
Figure 00000270
маскирующего маршрута связи
Figure 00000271
из массива памяти
Figure 00000272
уменьшают значение длины
Figure 00000273
на единицу, формируют сообщение, включающее информацию об уменьшенном на единицу значении длины
Figure 00000274
маскирующего маршрута связи
Figure 00000275
отправляют сервером безопасности сформированное сообщение i-му абоненту сети связи, принимают сообщение i-м абонентом сети связи, устанавливают i-м абонентом сети связи в служебном поле «Time То Live» заголовка IP-пакета маскирующих сообщений, передаваемых от отправителя, значение, равное уменьшенному на единицу значению длины
Figure 00000276
маскирующего маршрута связи
Figure 00000277
переходят к передаче маскирующих сообщений по маскирующим маршрутам связи
Figure 00000278
а в противном случае, то есть если
Figure 00000279
переходят к передаче маскирующих сообщений по маскирующим маршрутам связи, сравнивают в массиве памяти [Tij] текущее значение Ттек астрономического времени и значение времени окончания
Figure 00000280
передачи маскирующих сообщений для каждого маскирующего маршрута связи
Figure 00000281
и при выполнении условия
Figure 00000282
формируют отчет, содержащий информацию о значении коэффициента результативности терминации
Figure 00000283
IP-пакетов маскирующих сообщений для каждого маскирующего маршрута связи
Figure 00000284
, в противном случае, то есть если
Figure 00000285
изменяют исходные данные, содержащие информацию о структуре сети связи.
1. A method of masking the structure of a communication network, which consists in the fact that for a communication network containing a set of X nodes of a communication network having IP X addresses, initial data is pre-set containing information about the structure of a communication network, including a structural array [IP], an address security server IP SB and the addresses of subscribers IP a connected to the communication network, set for each x-th node of the communication network, where x = 1, 2, ..., X, the set of Y security parameters and their values b xy , where y = 1 , 2, ..., Y, valid value
Figure 00000214
average safety indicator of the communication route, memory array
Figure 00000215
for storing the calculated values of the maximum possible MTU length of a message packet that can be transmitted without fragmentation by the communication network nodes belonging to the masking communication route
Figure 00000216
, calculate the integrated safety index
Figure 00000217
for each x-th node communication network formed adjacency matrix communications network vertices, which are stored in the structural array [IP] network node addresses communication IP CSS and addresses of subscribers of the network connection IP a network, and information of a link between nodes, and subscribers of the communication network, after which they form a set of possible communication routes between the i-th and j-th subscribers of the communication network, where i = 1, 2, ..., j = 1, 2, ... and i ≠ j, in the form of N ij trees of the graph communication networks, and each n-th, where n = 1, 2, ..., N ij , the graph tree consists of z n vertices corresponding to the number of communication network nodes belonging to it, then for each of the N ij possible communication routes, the average safety index is calculated
Figure 00000218
communication route as the arithmetic mean of complex safety indicators
Figure 00000219
communication network nodes included in the n-th communication route compare the values of the average safety indicators
Figure 00000220
communication routes with a predefined allowable value
Figure 00000221
, according to the results of comparison if
Figure 00000222
form valid communication routes
Figure 00000223
and remember them, otherwise, that is, if
Figure 00000224
form masking communication routes
Figure 00000225
and store them, calculate the MTU values of each node of the communication network belonging to the masking communication route
Figure 00000226
, and store them in a memory array, choose for
Figure 00000227
of each masking communication route, the terminator node G T of the IP packets of masking messages and store it, read from the memory array
Figure 00000228
the MTU value of the terminator node G T of IP packets of masking messages and remember it, form messages that include information about the stored masking communication routes
Figure 00000229
and MTU values of terminator nodes G T of IP packets of masking messages, send generated messages about stored masking communication routes
Figure 00000230
, the MTU values of the terminator nodes G T of IP packets of masking messages and are received by the i-th communication network subscribers, form masking messages containing masking information, fragment masking messages into F fragments, compare the length L f of each f-th fragment with the received value MTU of the terminator node G T of IP packets of masking messages, and if the length L f f-th fragment is less than or equal to the received MTU of the terminator node G T of IP packets of masking messages, defragment the masking messages to values of length L f fragments greater than the accepted MTU value of the terminator node, otherwise, that is, if the length L f f-th fragment is greater than the accepted MTU value of the terminator node G T of the IP packets of masking messages, the fragmentation of the IP packet of messages during its transmission over the communication network is prohibited , then the generated masking messages are transmitted along masking communication routes
Figure 00000231
characterized in that, in addition to the initial data, a memory array is set
Figure 00000232
for storing computed length values
Figure 00000233
each masking communication route
Figure 00000234
memory array
Figure 00000235
to store the intensity value
Figure 00000236
masking messages directed by the sender to the recipient for each masking communication route
Figure 00000237
memory array
Figure 00000238
to store the intensity value
Figure 00000239
masking messages not terminated at the terminator node and received by the receiving subscriber for each masking communication route
Figure 00000240
memory array
Figure 00000241
for storing the results of calculating the termination performance coefficient
Figure 00000242
masking messages for each masking communication route
Figure 00000243
, the value of the permissible coefficient of effectiveness of termination
Figure 00000244
masking messages and a memory array [T ij ] for storing the current value of T tech astronomical time and the end time
Figure 00000245
transmission of masking messages for each masking communication route
Figure 00000246
, and after memorizing masking communication routes
Figure 00000247
calculate the length
Figure 00000248
each masking communication route
Figure 00000249
, store the length value
Figure 00000250
of each masking communication route to a memory array
Figure 00000251
, and after the prohibition of the fragmentation of the IP-packet of messages during its transmission over the communication network, the current value of T tech astronomical time and the end time value are stored in the memory array [T ij ]
Figure 00000252
transmission of masking messages for each masking communication route
Figure 00000253
, then, after transmission of the generated masking messages along masking communication routes
Figure 00000254
, calculate the value of the intensity
Figure 00000255
IP packets of masking messages sent by the i-th sender to the j-th recipient for each masking communication route
Figure 00000256
, store the intensity value
Figure 00000257
IP packet masking messages in memory array
Figure 00000258
calculate the intensity value
Figure 00000259
IP packets of masking messages not terminated at the terminator node and received by the receiving subscriber for each masking communication route
Figure 00000260
, store the intensity value
Figure 00000261
IP packet masking messages in memory array
Figure 00000262
calculate the value of the termination efficiency coefficient
Figure 00000263
IP packets of masking messages for each masking communication route
Figure 00000264
memorize the value of the termination efficiency coefficient
Figure 00000265
IP packet masking messages in memory array
Figure 00000266
compare the values of the termination performance coefficient
Figure 00000267
IP packets of masking messages with the value of the permissible termination performance factor
Figure 00000268
IP packets of masking messages, and if
Figure 00000269
read the length value
Figure 00000270
communication masking route
Figure 00000271
from memory array
Figure 00000272
decrease the length value
Figure 00000273
per unit, a message is formed, including information about the length value reduced by one
Figure 00000274
communication masking route
Figure 00000275
the security server sends the generated message to the i-th subscriber of the communication network, receives the message by the i-th subscriber of the communication network, sets the i-th subscriber of the communication network in the "Time To Live" service field of the header of the IP packet of masking messages transmitted from the sender, a value equal to reduced by one length value
Figure 00000276
communication masking route
Figure 00000277
move on to transmission of masking messages along masking communication routes
Figure 00000278
otherwise, that is, if
Figure 00000279
pass to the transmission of masking messages along masking communication routes, compare in the memory array [T ij ] the current value of T tech astronomical time and the end time value
Figure 00000280
transmission of masking messages for each masking communication route
Figure 00000281
and under the condition
Figure 00000282
generate a report containing information on the value of the termination performance coefficient
Figure 00000283
IP packets of masking messages for each masking communication route
Figure 00000284
, otherwise, that is, if
Figure 00000285
change the original data containing information about the structure of the communication network.
2. Способ по п. 1, отличающийся тем, что для вычисления длины
Figure 00000286
каждого маскирующего маршрута
Figure 00000287
суммируют количество узлов сети связи между i-м и j-м абонентами.
2. The method according to claim 1, characterized in that for calculating the length
Figure 00000286
each cloaking route
Figure 00000287
summarize the number of communication network nodes between the i-th and j-th subscribers.
3. Способ по п. 1, отличающийся тем, что значение коэффициента результативности терминации
Figure 00000288
IP-пакетов маскирующих сообщений для каждого маскирующего маршрута связи
Figure 00000289
вычисляют по формуле
Figure 00000290
3. The method according to claim 1, characterized in that the value of the termination efficiency coefficient
Figure 00000288
IP packets of masking messages for each masking communication route
Figure 00000289
calculated by the formula
Figure 00000290
RU2020112143A 2020-03-24 2020-03-24 Method for masking structure of communication network RU2739151C1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
RU2020112143A RU2739151C1 (en) 2020-03-24 2020-03-24 Method for masking structure of communication network

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
RU2020112143A RU2739151C1 (en) 2020-03-24 2020-03-24 Method for masking structure of communication network

Publications (1)

Publication Number Publication Date
RU2739151C1 true RU2739151C1 (en) 2020-12-21

Family

ID=74062951

Family Applications (1)

Application Number Title Priority Date Filing Date
RU2020112143A RU2739151C1 (en) 2020-03-24 2020-03-24 Method for masking structure of communication network

Country Status (1)

Country Link
RU (1) RU2739151C1 (en)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2759152C1 (en) * 2021-01-28 2021-11-09 федеральное государственное казенное военное образовательное учреждение высшего образования "Краснодарское высшее военное орденов Жукова и Октябрьской Революции Краснознаменное училище имени генерала армии С.М. Штеменко" Министерства обороны Российской Федерации Method for masking structure of communication network
RU213782U1 (en) * 2021-10-28 2022-09-28 федеральное государственное казенное военное образовательное учреждение высшего образования "Краснодарское высшее военное орденов Жукова и Октябрьской Революции Краснознаменное училище имени генерала армии С.М. Штеменко" Министерства обороны Российской Федерации ROUTER WITH PROACTIVE PROTECTION OF THE COMPUTATION NETWORK FROM NETWORK INVESTIGATION

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6577601B1 (en) * 1999-08-05 2003-06-10 The United States Of America As Represented By The Administrator Of The National Aeronautics And Space Administration Masked proportional routing
RU2412549C1 (en) * 2009-07-21 2011-02-20 Государственное образовательное учреждение высшего профессионального образования Академия Федеральной службы охраны Российской Федерации (Академия ФСО России) Method of configuring communication network
RU2622842C1 (en) * 2016-05-23 2017-06-20 федеральное государственное казенное военное образовательное учреждение высшего образования "Военная академия связи имени Маршала Советского Союза С.М. Буденного" Министерства обороны Российской Федерации Method for masking the structure of telecommunication network
RU2645292C2 (en) * 2016-06-21 2018-02-19 федеральное государственное казенное военное образовательное учреждение высшего образования "Краснодарское высшее военное училище имени генерала армии С.М. Штеменко" Министерства обороны Российской Федерации Method for masking structure of telecommunication network
RU2656839C1 (en) * 2017-04-26 2018-06-06 Федеральное государственное казенное военное образовательное учреждение высшего образования "Краснодарское высшее военное училище имени генерала армии С.М. Штеменко" Method for masking the structure of the communication network
RU2682105C1 (en) * 2018-04-09 2019-03-14 федеральное государственное казенное военное образовательное учреждение высшего образования "Краснодарское высшее военное училище имени генерала армии С.М. Штеменко" Министерства обороны Российской Федерации Communication network structure masking method

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6577601B1 (en) * 1999-08-05 2003-06-10 The United States Of America As Represented By The Administrator Of The National Aeronautics And Space Administration Masked proportional routing
RU2412549C1 (en) * 2009-07-21 2011-02-20 Государственное образовательное учреждение высшего профессионального образования Академия Федеральной службы охраны Российской Федерации (Академия ФСО России) Method of configuring communication network
RU2622842C1 (en) * 2016-05-23 2017-06-20 федеральное государственное казенное военное образовательное учреждение высшего образования "Военная академия связи имени Маршала Советского Союза С.М. Буденного" Министерства обороны Российской Федерации Method for masking the structure of telecommunication network
RU2645292C2 (en) * 2016-06-21 2018-02-19 федеральное государственное казенное военное образовательное учреждение высшего образования "Краснодарское высшее военное училище имени генерала армии С.М. Штеменко" Министерства обороны Российской Федерации Method for masking structure of telecommunication network
RU2656839C1 (en) * 2017-04-26 2018-06-06 Федеральное государственное казенное военное образовательное учреждение высшего образования "Краснодарское высшее военное училище имени генерала армии С.М. Штеменко" Method for masking the structure of the communication network
RU2682105C1 (en) * 2018-04-09 2019-03-14 федеральное государственное казенное военное образовательное учреждение высшего образования "Краснодарское высшее военное училище имени генерала армии С.М. Штеменко" Министерства обороны Российской Федерации Communication network structure masking method

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2759152C1 (en) * 2021-01-28 2021-11-09 федеральное государственное казенное военное образовательное учреждение высшего образования "Краснодарское высшее военное орденов Жукова и Октябрьской Революции Краснознаменное училище имени генерала армии С.М. Штеменко" Министерства обороны Российской Федерации Method for masking structure of communication network
RU213782U1 (en) * 2021-10-28 2022-09-28 федеральное государственное казенное военное образовательное учреждение высшего образования "Краснодарское высшее военное орденов Жукова и Октябрьской Революции Краснознаменное училище имени генерала армии С.М. Штеменко" Министерства обороны Российской Федерации ROUTER WITH PROACTIVE PROTECTION OF THE COMPUTATION NETWORK FROM NETWORK INVESTIGATION
RU2793104C1 (en) * 2022-12-07 2023-03-29 федеральное государственное казенное военное образовательное учреждение высшего образования "Краснодарское высшее военное орденов Жукова и Октябрьской Революции Краснознаменное училище имени генерала армии С.М. Штеменко" Министерства обороны Российской Федерации Method for communication network structure masking

Similar Documents

Publication Publication Date Title
Collins et al. Using uncleanliness to predict future botnet addresses
US7688740B1 (en) System and method for identifying cost metrics for a network
US20080170510A1 (en) Efficient Determination Of Fast Routes When Voluminous Data Is To Be Sent From A Single Node To Many Destination Nodes Via Other Intermediate Nodes
RU2682105C1 (en) Communication network structure masking method
Johnson et al. Avoiding the man on the wire: Improving Tor's security with trust-aware path selection
RU2331158C1 (en) Method of evasive routing in communication networks (variants)
Hsiao et al. STRIDE: sanctuary trail--refuge from internet DDoS entrapment
JP5233295B2 (en) COMMUNICATION DEVICE, COMMUNICATION SYSTEM, AND COMMUNICATION METHOD
CN102143041B (en) Network traffic sharing method, device and system
RU2739151C1 (en) Method for masking structure of communication network
RU2622842C1 (en) Method for masking the structure of telecommunication network
RU2645292C2 (en) Method for masking structure of telecommunication network
Nur et al. Single packet AS traceback against DoS attacks
Bless A lower-effort per-hop behavior (LE PHB) for differentiated services
EP4231589A1 (en) Method and system for network topology obfuscation
RU2794532C1 (en) Method for communication network structure masking
RU2793104C1 (en) Method for communication network structure masking
RU2759152C1 (en) Method for masking structure of communication network
JP4356557B2 (en) Method and program for identifying network fault location on the Internet
Moz et al. Campus network configuration, monitoring and data flow simulation using Cisco packet tracer
RU2680038C1 (en) Method of computer networks protection
Arjmandpanah‐Kalat et al. Design and performance analysis of an efficient single flow IP traceback technique in the AS level
Dogruluk et al. A detection and defense approach for content privacy in named data network
RU181257U1 (en) Data Clustering Firewall
RU2789810C1 (en) Method for protection of computer networks