RU2745004C1 - Method for protecting computing networks - Google Patents

Method for protecting computing networks Download PDF

Info

Publication number
RU2745004C1
RU2745004C1 RU2020125357A RU2020125357A RU2745004C1 RU 2745004 C1 RU2745004 C1 RU 2745004C1 RU 2020125357 A RU2020125357 A RU 2020125357A RU 2020125357 A RU2020125357 A RU 2020125357A RU 2745004 C1 RU2745004 C1 RU 2745004C1
Authority
RU
Russia
Prior art keywords
response
sender
messages
memory array
mail
Prior art date
Application number
RU2020125357A
Other languages
Russian (ru)
Inventor
Роман Викторович Максимов
Сергей Петрович Соколовский
Виктор Викторович Починок
Александр Александрович Горбачев
Александр Павлович Теленьга
Роман Сергеевич Шерстобитов
Original Assignee
федеральное государственное казенное военное образовательное учреждение высшего образования "Краснодарское высшее военное орденов Жукова и Октябрьской Революции Краснознаменное училище имени генерала армии С.М. Штеменко" Министерства обороны Российской Федерации
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by федеральное государственное казенное военное образовательное учреждение высшего образования "Краснодарское высшее военное орденов Жукова и Октябрьской Революции Краснознаменное училище имени генерала армии С.М. Штеменко" Министерства обороны Российской Федерации filed Critical федеральное государственное казенное военное образовательное учреждение высшего образования "Краснодарское высшее военное орденов Жукова и Октябрьской Революции Краснознаменное училище имени генерала армии С.М. Штеменко" Министерства обороны Российской Федерации
Priority to RU2020125357A priority Critical patent/RU2745004C1/en
Application granted granted Critical
Publication of RU2745004C1 publication Critical patent/RU2745004C1/en

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q10/00Administration; Management
    • G06Q10/10Office automation; Time management
    • G06Q10/107Computer-aided management of electronic mailing [e-mailing]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic

Landscapes

  • Engineering & Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • Human Resources & Organizations (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Entrepreneurship & Innovation (AREA)
  • Strategic Management (AREA)
  • Quality & Reliability (AREA)
  • General Physics & Mathematics (AREA)
  • Operations Research (AREA)
  • Economics (AREA)
  • Tourism & Hospitality (AREA)
  • Physics & Mathematics (AREA)
  • General Business, Economics & Management (AREA)
  • Marketing (AREA)
  • Theoretical Computer Science (AREA)
  • Data Mining & Analysis (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Information Transfer Between Computers (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

FIELD: computing.SUBSTANCE: method for protecting computer networks is intended for use in intrusion detection systems for the purpose of promptly countering unauthorized influences in computer data transmission networks based on the TCP / IP family of communication protocols.EFFECT: technical result is achieved by dividing the response to the attacker into fragments and sending these fragments through numerous small time intervals, as well as sending them deliberately fake messages about a temporary or permanent impossibility of continuing the postal transaction. The technical result is also increased protection effectiveness.6 cl, 6 dwg

Description

Изобретение относится к электросвязи и может быть использовано в системах обнаружения атак с целью оперативного выявления и противодействия несанкционированным воздействиям в вычислительных сетях, в частности, в сети передачи данных типа «Internet», основанных на семействе коммуникационных протоколов TCP/IP (Transmission Control Protocol /Internet Protocol).The invention relates to telecommunications and can be used in intrusion detection systems for the purpose of prompt detection and counteraction of unauthorized influences in computer networks, in particular, in a data transmission network of the "Internet" type, based on the family of communication protocols TCP / IP (Transmission Control Protocol / Internet Protocol).

Известен способ защиты вычислительных сетей «Система анализа протоколов передачи данных с целью нейтрализации программ, рассылающих спам» по патенту РФ №101234, класс G06F 21/00, G06F 11/00, заявл. 23.07.2010. Известный способ включает следующую последовательность действий. Задают и записывают в базу данных репутационные правила, которые определяют, что клиент является спам-ботом. Принимают запрос от клиентов к серверу о определяют протокол передачи данных между клиентом и сервером, наличие ошибок протокола, количество запросов, поступающих от клиентов к серверу, адреса клиентов. Выставляют репутацию клиентам от которых поступили запросы в соответствии с используемыми репутационными правилами. В случае идентификации спам-бота, использующих программу рассылающую спам, направляют средства лечения программы, рассылающей спам на адреса спам-ботов с которых направляются запросы к серверу.A known method of protecting computer networks "System for analyzing data transfer protocols in order to neutralize programs that send spam" according to RF patent No. 101234, class G06F 21/00, G06F 11/00, Appl. 23.07.2010. The known method includes the following sequence of actions. Reputation rules are set and recorded in the database, which determine that the client is a spambot. A request from clients to the server is received and the protocol of data transfer between the client and the server, the presence of protocol errors, the number of requests from clients to the server, and client addresses are determined. Exhibit reputation to clients from whom requests were received in accordance with the used reputation rules. If a spam bot is identified that uses a spam-sending program, means of disinfecting the program sending spam are sent to the addresses of spambots from which requests are sent to the server.

Недостатком данного способа является относительно низкая результативность защиты, которая обусловлена отсутствием учета возможностей злоумышленника по блокированию и перенаправлению пересылаемых ему средств лечения программы, рассылающей спам, а также отсутствие учета возможности злоумышленника по спам-рассылке с поддельных адресов электронной почты, что повышает вероятность успешной реализации некоторых видов NDR-атак (Non Delivery Report), основанных на возврате отправителю почтовых сообщений, получателя которых не существует. Кроме того, еще одним недостатком, существенно влияющим на результативность рассматриваемого способа, является то компрометация применяемых средств защиты, что вынуждает злоумышленника продолжать вредоносное воздействие и (или) изменять его стратегию.The disadvantage of this method is the relatively low effectiveness of protection, which is due to the lack of accounting for the attacker's ability to block and redirect the remedies forwarded to him for the treatment of a program that sends spam, as well as the lack of accounting for the attacker's ability to send spam from fake email addresses, which increases the likelihood of successful implementation of some types of NDR (Non Delivery Report) attacks based on the return of mail messages to the sender, the recipient of which does not exist. In addition, another drawback that significantly affects the effectiveness of the method under consideration is the compromise of the applied protection means, which forces the attacker to continue the harmful effect and (or) change his strategy.

Известен способ защиты вычислительных сетей «Предотвращение несанкционированной массовой рассылки электронной почты» по патенту РФ №2472308, класс H04W 4/12, G06F 15/167, заявл. 19.05.2011. Известный способ включает следующую последовательность действий. Отфильтрованные на почтовом сервере сообщения, признанные вирусом и спамом, не только помечают, перемещают в другой ящик или удаляют, но копии таких писем возвращают отправителю, за счет чего его почтовый ящик переполняется и блокируется, и отправка несанкционированной массовой рассылки электронной почты с этого адреса прекращается. Почтовые ящики серверов электронной почты настраивают таким образом, чтобы при переполнении они блокировались, прерывая отправку писем.A known method of protecting computer networks "Preventing unauthorized mass mailing of e-mail" according to RF patent No. 2472308, class H04W 4/12, G06F 15/167, Appl. May 19, 2011. The known method includes the following sequence of actions. Messages filtered on the mail server, recognized as a virus and spam, are not only marked, moved to another mailbox or deleted, but copies of such messages are returned to the sender, due to which his mailbox becomes full and blocked, and the sending of unauthorized bulk e-mail from this address is stopped ... Mailboxes on e-mail servers are configured to block when overflowed, interrupting the sending of emails.

Недостатком данного способа является относительно низкая результативность и узкая область применения. Узкая область применения обусловлена применением способа для противодействия злоумышленнику, использующему одновременно лишь один почтовый ящик для массовой спам-рассылки, не учитывают возможность применения для этих целей злоумышленником множества почтовых ящиков различных компьютеров, под управлением спам-ботов, резко повышающих его возможности. Низкая результативность защиты обусловлена блокированием почтовых ящиков серверов электронной почты, при их переполнении вследствие интенсивного обмена сообщениями электронной почты со злоумышленником, что приведет к снижению скорости или невозможности информационного обмена сообщениями электронной почты с санкционированными отправителями (отказу в обслуживании). Кроме того, отсутствие учета возможностей злоумышленника по блокированию и перенаправлению пересылаемых ему обратно спам-сообщений, а также отсутствие учета возможности злоумышленника по массовой спам-рассылке с поддельных адресов электронной почты повышает вероятность успешной реализации некоторых NDR-атак (Non-Delivery Report), основанных на недоставке электронной почты, типа «bounce message attack», «bounce-source» или «backscatter-attack», известных и описанных, например, в статье Касперски К. Беспредельный спам // Хакер, №07(103), июнь 2007, на стр. 48-51 и приведет к регрессии (деградации) основного качества способа-прототипа. Еще одним недостатком, существенно влияющим на результативность рассматриваемого способа, является то, что реализация указанного подхода к защите компрометирует применяемые средства защиты и вынуждает злоумышленника продолжать вредоносное воздействие и (или) изменять его стратегию.The disadvantage of this method is the relatively low efficiency and narrow scope. The narrow scope is due to the application of a method to counter an attacker who uses only one mailbox for mass spam mailing at a time, do not take into account the possibility of using for this purpose by an attacker many mailboxes of different computers, under the control of spambots, which dramatically increase his capabilities. Poor protection performance is due to the blocking of mailboxes of e-mail servers, when they are overflowed due to intensive exchange of e-mail messages with an attacker, which will lead to a decrease in the speed or impossibility of information exchange of e-mail messages with authorized senders (denial of service). In addition, the lack of accounting for the attacker's ability to block and redirect spam messages sent back to him, as well as the lack of accounting for the attacker's ability to send bulk spam from fake email addresses increases the likelihood of successful implementation of some NDR attacks (Non-Delivery Report) based on on non-delivery of e-mail, such as "bounce message attack", "bounce-source" or "backscatter-attack", known and described, for example, in the article by Kaspersky K. Unlimited spam // Hacker, No. 07 (103), June 2007, on pp. 48-51 and will lead to regression (degradation) of the basic quality of the prototype method. Another drawback that significantly affects the effectiveness of the method under consideration is that the implementation of the specified approach to protection compromises the applied protection means and forces the attacker to continue the harmful effect and (or) change his strategy.

Наиболее близким по своей технической сущности к заявленному является способ защиты вычислительных сетей «Response delay management using connection information» по патенту США №20070220600 A1, класс G06F 2/4 (2006.01), опубл. 20.09.2007. Способ заключается в выполнении следующих действий: Предварительно задают N≥1 опорных идентификаторов санкционированных отправителей и получателей сообщений электронной почты. Устанавливают сетевое соединение с отправителем сообщений электронной почты. Принимают от отправителя команду, идентифицирующую отправителя почтовых сообщений, выделяют идентификаторы отправителя почтовых сообщений и сравнивают их с опорными идентификаторами санкционированных отправителей и получателей сообщений электронной почты. При их совпадении передают ответный отклик о готовности получателя к очередному этапу почтовой транзакции отправителю сообщений. В ином случае снижают скорость передачи сформированного ответного отклика на время tзад и направляют через время tзад сформированный ответный отклик отправителю с уменьшением скорости передачи. В случае получения от отправителя сообщений электронной почты команды на завершение сетевого соединения, до истечения времени tзад отправки ответного отклика, разрывают сетевое соединение с отправителем почтовых сообщений. Далее, на каждом из этапов почтовой транзакции, повторяют цикл приема от отправителя команд, идентифицирующих отправителя и получателей почтовых сообщений, выделения идентификаторов отправителя и получателей почтовых сообщений, их сравнения с опорными идентификаторами санкционированных отправителей и получателей сообщений электронной почты, разрыва соединения с отправителем в случае получения от него команды на завершение соединения до истечения времени tзад отправки ответного отклика. Увеличивают значение времени tзад задержки, через которое передают ответный отклик отправителю сообщений электронной почты в случае повторных попыток передачи сообщений несанкционированного отправителя.The closest in technical essence to the claimed is a method of protecting computer networks "Response delay management using connection information" according to US patent No. 70220600 A1, class G06F 2/4 (2006.01), publ. 20.09.2007. The method consists in performing the following actions: N≥1 reference identifiers of authorized senders and recipients of e-mail messages are preset. Establish a network connection with the sender of the e-mail messages. A command is received from the sender that identifies the sender of the mail messages, the identifiers of the sender of the mail messages are extracted and compared with the reference identifiers of the authorized senders and recipients of the e-mail messages. If they match, a response is sent about the readiness of the recipient for the next stage of the mail transaction to the sender of the messages. Otherwise, the transmission rate of the generated response is reduced for the time t back and the generated response is sent to the sender after the time t back with a decrease in the transmission rate. In the case of receipt from the sender of the e-mail the team at the end of a network connection, before the expiry of the time t ass sending a reply response, break the network connection to the sender of e-mail messages. Further, at each of the stages of the mail transaction, the cycle of receiving commands from the sender identifying the sender and recipients of mail messages, highlighting the identifiers of the sender and recipients of mail messages, comparing them with the reference identifiers of authorized senders and recipients of e-mail messages, breaking the connection with the sender in case of receiving commands from him to complete connections before the expiration of time t backside sending a reply response. Increase the value of time delay t butt that sends a response back to the sender e-mail in the case of repeated attempts to send messages unauthorized sender.

Известный способ-прототип обеспечивает более высокую результативность защиты по сравнению с аналогами за счет задержки на заданное время ответных откликов на команды злоумышленника в процессе передачи сообщений электронной почты, что позволяет уменьшить количество передаваемых им нежелательных сообщений и, тем самым, снизить и(или) прекратить вредоносное воздействие злоумышленника.The known prototype method provides a higher protection efficiency in comparison with analogs due to the delay for a given time in response responses to the attacker's commands during the transmission of e-mail messages, which makes it possible to reduce the number of unwanted messages sent to them and, thereby, to reduce and (or) stop malicious impact of an intruder.

Недостатком способа-прототипа является относительно низкая результативность защиты, которая обусловлена тем, что задержку по времени при отправке ответных откликов на команды злоумышленника, после его идентификации в процессе передачи сообщений электронной почты по протоколу SMTP, осуществляют через достаточно продолжительное время задержки tзад, значение которого увеличивают в случае его повторных попыток передачи сообщений электронной почты. Это может привести к компрометации применяемых средств защиты, что вынуждает злоумышленника далее воздействовать на вычислительные сети и (или) менять применяемую стратегию воздействия, а также обходу применяемых средств защиты при установке злоумышленником достаточно коротких значений тайм-аутов ожидания ответных откликов от получателя сообщений на различных этапах процесса передачи сообщений электронной почты по протоколу SMTP.The disadvantage of the prototype method is the relatively low effectiveness of protection, which is due to the fact that the time delay in sending response responses to the attacker's commands, after his identification in the process of sending e-mail messages via the SMTP protocol, is carried out after a sufficiently long delay time t back , the value of which increase in case of its repeated attempts to transmit e-mail messages. This can lead to the compromise of the applied protection means, which forces the attacker to further influence the computer networks and (or) change the applied strategy of influence, as well as bypass the applied protection means when the attacker sets sufficiently short timeouts for waiting for responses from the message recipient at various stages. the process of sending e-mail messages using the SMTP protocol.

Целью заявленного технического решения является разработка способа защиты вычислительных сетей, обеспечивающего повышение результативности защиты за счет снижения возможности обнаружения злоумышленником факта использования средств защиты, достигаемой имитацией канала связи с плохим качеством на различных этапах почтовой транзакции, за счет разбиения ответного отклика злоумышленнику на фрагменты и направления этих фрагментов через многочисленные малые интервалы времени задержки, направления ответного отклика злоумышленнику после множества промежуточных откликов, отправленных через многочисленные малые интервалы времени задержки, а также направления злоумышленнику заведомо ложных сообщений о временной или постоянной невозможности продолжения почтовой транзакции.The aim of the claimed technical solution is to develop a method for protecting computer networks, which ensures an increase in the effectiveness of protection by reducing the possibility of an attacker detecting the fact of using protection means, achieved by simulating a communication channel with poor quality at various stages of a mail transaction, by splitting the response to the attacker into fragments and directions of these fragments at multiple short delay intervals, forwarding a response to the attacker after multiple intermediate responses sent at multiple short delay intervals, and sending deliberately false messages to the attacker about the temporary or permanent impossibility of continuing the mail transaction.

Поставленная цель достигается тем, что в известном способе защиты вычислительных сетей предварительно задают N≥1 опорных идентификаторов санкционированных отправителей и получателей сообщений электронной почты. Далее задают Ic счетчик количества подключений отправителя сообщений и Icmax максимально возможное количество подключений отправителя сообщений электронной почты. После этого задают tзад время задержки, через которое передают ответный отклик отправителю сообщений электронной почты и массив памяти М для хранения опорных идентификаторов санкционированных отправителей сообщений электронной почты. Затем задают Is счетчик общего количества подключений всех отправителей сообщений электронной почты и Ismax максимально возможное количество подключений всех отправителей сообщений электронной почты. Далее устанавливают сетевое соединение с отправителем почтовых сообщений и направляют отправителю отклик, инициирующий начало сеанса SMTP со стороны получателя. После этого увеличивают значение Ic счетчика количества подключений от отправителя сообщений на единицу. Затем увеличивают значение Is счетчика общего количества подключений от всех отправителей сообщений и сравнивают значение Is счетчика количества подключений от всех отправителей сообщений с Ismax максимально возможным количеством подключений всех отправителей сообщений. При выполнении условия Is≥Ismax уменьшают значения Ic и Is на единицу. Затем завершают сетевое соединение с отправителем почтовых сообщений. В ином случае, при невыполнении условия Is≥Ismax принимают команду, инициирующую отправителя почтовых сообщений и идентифицирующую его. Далее выделяют из принятой команды идентификаторы отправителя сообщений и сравнивают выделенные идентификаторы отправителя сообщений с опорными идентификаторами из массива памяти М. Если по результатам сравнения выделенные идентификаторы соответствуют опорным идентификаторам санкционированных отправителей сообщений из массива памяти М, то направляют ответный отклик отправителю сообщений о готовности к почтовой транзакции. В ином случае, если по результатам сравнения выделенные идентификаторы не соответствуют опорным идентификаторам санкционированных отправителей сообщений из массива памяти М, то формируют ответный отклик. После этого устанавливают tзад время задержки передачи сформированного ответного отклика. Затем по истечении времени tзад направляют сформированный ответный отклик отправителю. В случае получения, во время tзад перед отправкой ответного отклика, команды на завершение сетевого соединения от отправителя сообщений электронной почты уменьшают значения Ic и Is на единицу. После этого задают сетевое соединение с отправителем почтовых сообщений. В ином случае, если во время tзад перед отправкой ответного отклика, команды на завершение сетевого соединения от отправителя сообщений электронной почты не последовало, то направляют отправителю ответный отклик. Далее принимают от отправителя сообщений команду на начало почтовой транзакции, идентифицирующую отправителя сообщений электронной почты. После этого выделяют из принятой команды идентификаторы отправителя сообщений и сравнивают выделенные идентификаторы отправителя сообщений с опорными идентификаторами из массива памяти М. Если по результатам сравнения выделенные идентификаторы соответствуют опорным идентификаторам санкционированных отправителей сообщений из массива памяти М, то направляют ответный отклик отправителю сообщений о приеме полученной команды и начале почтовой транзакции. В ином случае, если по результатам сравнения выделенные идентификаторы не соответствуют опорным идентификаторам санкционированных отправителей сообщений из массива памяти М, то формируют ответный отклик. Затем устанавливают tзад время задержки передачи сформированного ответного отклика. Далее по истечении времени tзад направляют сформированный ответный отклик отправителю. В случае получения, во время tзад перед отправкой ответного отклика, команды на завершение сетевого соединения от отправителя сообщений электронной почты уменьшают значения Ic и Is на единицу. После этого завершают сетевое соединение с отправителем почтовых сообщений. В ином случае, если во время tзад перед отправкой ответного отклика, команды на завершение сетевого соединения от отправителя сообщений электронной почты не последовало, то направляют отправителю ответный отклик. Затем принимают от отправителя сообщений команду, указывающую получателей сообщения электронной почты. После этого сравнивают значение Ic счетчика количества подключений отправителя сообщений Icmax максимально возможным количеством подключений отправителя сообщений. Далее, при выполнении условия Ic≥Icmax, уменьшают значения Ic и Is на единицу и завершают сетевое соединение с отправителем почтовых сообщений. В ином случае, при невыполнении условия Ic≥Icmax принимают команду, указывающую получателей сообщения электронной почты и выделяют из принятой команды идентификаторы получателей сообщений. Затем сравнивают выделенные идентификаторы получателей сообщений с опорными идентификаторами из массива памяти М. Если по результатам сравнения выделенные идентификаторы соответствуют опорным идентификаторам санкционированных получателей сообщений из массива памяти М, то направляют ответный отклик отправителю сообщений о готовности продолжить почтовую транзакцию. В ином случае, если по результатам сравнения выделенные идентификаторы не соответствуют опорным идентификаторам санкционированных получателей сообщений из массива памяти М, то формируют ответный отклик. Далее устанавливают tзад время задержки передачи сформированного ответного отклика и по истечении времени tзад направляют сформированный ответный отклик отправителю. В случае получения, во время tзад перед отправкой ответного отклика, команды на завершение сетевого соединения от отправителя сообщений электронной почты уменьшают значения Ic и Is на единицу. После этого завершают сетевое соединение с отправителем почтовых сообщений. В ином случае, если во время tзад перед отправкой ответного отклика, команды на завершение сетевого соединения от отправителя сообщений электронной почты не последовало, то направляют отправителю ответный отклик. Далее принимают очередную команду, инициирующую передачу почтовых данных и направляют отправителю сообщений ответный отклик о готовности приема текста сообщения электронной почты. Затем принимают текст сообщения электронной почты и завершают почтовую транзакцию передачей отклика, подтверждающего транзакцию. После этого уменьшают значения Ic и Is на единицу и завершают сетевое соединение с отправителем почтовых сообщений. В предварительно заданные данные дополнительно задают массив памяти L для хранения t сформированных значений времени задержки промежуточных откликов отправителю сообщений электронной почты, где t=1, 2, …, Т, а Т - общее количество сформированных значений времени задержки промежуточных откликов отправителю сообщений. Затем задают массив памяти V для хранения d промежуточных откликов отправителю сообщений электронной почты, где d=1, 2 ... R, a R - общее количество промежуточных откликов, которые будут направлены отправителю сообщений электронной почты перед ответным сообщением. Далее задают

Figure 00000001
счетчик сформированных промежуточных откликов, хранящихся в массиве памяти V. После этого задают массив памяти J для хранения матрицы соответствия d-му промежуточному отклику из массива V t-го сформированного значения времени задержки его направления отправителю сообщений электронной почты из массива памяти L. После этого задают массив памяти P для хранения g фрагментов, на которые разделяют ответный отклик, направляемый отправителю сообщений, где g=1, 2, …, G, a G - общее количество сформированных фрагментов, на которые разделяют ответный отклик, направляемый отправителю сообщений. Затем задают массив памяти Z для хранения ƒ сформированных значений времени задержки передачи фрагментов ответного отклика отправителю сообщений электронной почты, где ƒ=1, 2, …, F, a F - общее количество сформированных значений времени задержки направления фрагментов ответного отклика отправителю сообщений электронной почты. Далее задают счетчик m сформированных фрагментов, на которые разделяют ответный отклик, хранящихся в массиве памяти Р. После этого задают массив памяти Н для хранения матрицы соответствия g-му фрагменту из массива Р ƒ-го сформированного значения времени его задержки из массива памяти Z. Далее задают массив памяти X для хранения и ответных откликов на команды отправителя сообщений, содержащих коды ошибки в соответствии со спецификацией протокола SMTP, где u=1, 2, … U, a U - общее количество ответных откликов на команды отправителя сообщений, содержащих коды ошибки. Затем, если после приема идентифицирующей отправителя команды, выделения идентификаторов отправителя и их сравнения с опорными, выделенные идентификаторы не соответствуют опорным идентификаторам санкционированных отправителей сообщений из массива памяти М, то формируют R промежуточных откликов, которые будут направлены отправителю сообщений электронной почты перед ответным откликом. После этого запоминают R промежуточных откликов в массиве памяти V и устанавливают значение счетчика
Figure 00000002
сформированных промежуточных откликов, хранящихся в массиве памяти V равным R. Далее формируют Т значений времени задержки промежуточных откликов отправителю сообщений и запоминают Т значений времени задержки промежуточных откликов отправителю сообщений в массиве памяти L. После этого запоминают в массиве памяти J соответствие d-му промежуточному отклику из массива V t-го сформированного значения времени его задержки из массива памяти L. Затем считывают из массива памяти J первый из R сформированных промежуточных откликов и из массива памяти L первое из Т сформированных значений времени задержки. Далее направляют отправителю сообщений первый из R сформированных промежуточных откликов через первое из Т сформированных значений времени задержки. После этого удаляют первый из R сформированных промежуточных откликов и первое из Т сформированных значений времени задержки, а также запись об их соответствии из массивов памяти V, L и J соответственно. Затем уменьшают значение счетчика
Figure 00000003
сформированных промежуточных откликов, хранящихся в массиве памяти V на единицу. В случае получения после отправки промежуточного отклика команды на завершение сетевого соединения от отправителя сообщений электронной почты значения Ic и Is уменьшаются на единицу, а сетевое соединение с отправителем сообщений завершается. В ином случае, если, после отправки промежуточного отклика, команды на завершение сетевого соединения от отправителя сообщений электронной почты не последовало, то считывают значение счетчика
Figure 00000004
сформированных промежуточных откликов. Далее, в случае, если значение счетчика
Figure 00000005
что говорит о том, что еще не все промежуточные отклики направлены отправителю сообщений электронной почты, то считывают очередной (d+l)-й из ранее сформированных R промежуточных откликов. После этого направляют очередной (d+1)-й из ранее сформированных R промежуточных откликов через (t+1)-e значение времени задержки отправителю сообщений электронной почты, и так до тех пор, пока не будет выполнено условие
Figure 00000006
означающее, что все промежуточные отклики направлены отправителю. Затем после выполнения условия
Figure 00000007
направляют ответный отклик отправителю сообщений электронной почты. В случае если после приема от отправителя сообщений команды на начало почтовой транзакции, выделения идентификаторов отправителя, их сравнения с опорными идентификаторами, по результатам сравнения выделенные идентификаторы не соответствуют опорным идентификаторам санкционированных отправителей сообщений из массива памяти М, то формируют G фрагментов, на которые разделяют ответный отклик, направляемый отправителю сообщений. После этого запоминают G фрагментов, на которые разделяют ответный отклик, направляемый отправителю сообщений, в массиве памяти Р. Далее устанавливают значение счетчика т сформированных фрагментов, на которые разделяют ответный отклик, хранящихся в массиве памяти Р, равным G. Затем формируют F значений времени задержки для каждого из фрагментов, на которые разделяют ответный отклик отправителю. После этого запоминают F значений времени задержки для каждого из фрагментов, на которые разделяют ответный отклик отправителю в массиве памяти Z и запоминают в массиве памяти Н соответствия g-му фрагменту из массива Р ƒ-го сформированного значения времени его задержки из массива памяти Z. Далее считывают из массива памяти Р первый из G сформированных фрагментов ответного отклика и из массива памяти Z первое из F сформированных значений времени задержки. Затем направляют отправителю сообщений первый из G фрагментов ответного отклика через первое из Z сформированных значений времени задержки. После этого удаляют первый из G сформированных фрагментов ответного отклика и первое из F сформированных значений времени задержки, а также запись об их соответствии из массивов памяти Р, Z и Н соответственно. Далее уменьшают значение счетчика т сформированных фрагментов ответного отклика, хранящихся в массиве памяти Р, на единицу. В случае получения после отправки фрагмента ответного отклика команды на завершение сетевого соединения от отправителя сообщений электронной почты значения Ic и Is уменьшаются на единицу, а сетевое соединение с отправителем сообщений завершается. В ином случае, если после отправки очередного фрагмента ответного отклика команды на завершение сетевого соединения от отправителя сообщений электронной почты не последовало, то считывают значение счетчика m сформированных фрагментов ответного отклика. В случае, если значение счетчика m≠0, что говорит о том, что еще не все фрагменты ответного отклика направлены отправителю сообщений электронной почты, то считывают очередной (g+1)-й из ранее сформированных G фрагментов ответного отклика. Далее направляют очередной (g+lj-й из ранее сформированных G фрагментов ответного отклика через (ƒ+1)-e значение времени задержки отправителю сообщений электронной почты, и так до тех пор пока не будет выполнено условие m=0, означающее, что все фрагменты ответного отклика направлены отправителю. В случае если после приема от отправителя сообщений команды, идентифицирующей получателей сообщений, выделения идентификаторов получателей сообщений, их сравнения с опорными идентификаторами выделенные идентификаторы по результатам сравнения не соответствуют опорным идентификаторам санкционированных получателей сообщений из массива памяти М, то формируют U ответных откликов на команды отправителя сообщений, содержащих коды ошибки в соответствии со спецификацией протокола SMTP. После этого запоминают U ответных откликов в массиве памяти X и считывают из X u-й ответный отклик, содержащий код ошибки, на команду отправителя сообщений электронной почты. Далее направляют отправителю сообщений электронной почты ответный отклик, содержащий код ошибки. В случае неполучения повторной команды от отправителя сообщений по истечении времени тайм-аута ожидания на полученный отклик с кодом ошибки или получения команды о разрыве установленного соединения, значения Ic и Is уменьшаются на единицу, а сетевое соединение с отправителем сообщений завершается.This goal is achieved by the fact that in the known method for protecting computer networks, N≥1 reference identifiers of authorized senders and recipients of e-mail messages are preset. Next, set I c a counter of the number of connections of the sender of messages and I cmax the maximum possible number of connections of the sender of e-mail messages. Thereafter define butt t delay time after which a response is transmitted back to the sender of electronic mail messages and an array of memory M for storing reference identifiers authorized senders email messages. Then set the I s counter of the total number of connections of all senders of e-mail messages and I smax the maximum possible number of connections of all senders of e-mail messages. Next, a network connection is established with the sender of mail messages and a response is sent to the sender, initiating the beginning of an SMTP session from the recipient's side. After that, the value I c of the counter of the number of connections from the message sender is increased by one. Then increase a counter value I s of the total number of connections to all senders and comparing the counter value I s the number of connections from all senders from I smax maximum possible number of connections all senders. When the condition I s ≥I smax is satisfied , the values of I c and I s are reduced by one. Then, the network connection with the sender of the mail messages is terminated. Otherwise, if the condition I s ≥I smax is not met, a command is received that initiates the sender of mail messages and identifies him. Next, the message sender identifiers are extracted from the received command and the allocated message sender identifiers are compared with the reference identifiers from the memory array M. If, according to the comparison results, the selected identifiers correspond to the reference identifiers of authorized message senders from the memory array M, then a response is sent to the sender of messages about readiness for a mail transaction ... Otherwise, if, according to the comparison results, the allocated identifiers do not correspond to the reference identifiers of the authorized senders of messages from the memory array M, then a response is generated. After that set t back the delay time of transmission of the generated response response. Then, after time t is sent back response generated by the response to the sender. If received, at time t back before sending the response, the commands to terminate the network connection from the sender of the e-mail messages decrease the values of I c and I s by one. After that, a network connection with the sender of mail messages is set up. Otherwise, if at time t back before sending a response response, there is no command to terminate the network connection from the sender of e-mail messages, then a response response is sent to the sender. Next, a command is received from the sender of the messages to start a mail transaction that identifies the sender of the e-mail messages. After that, the message sender identifiers are extracted from the received command and the selected message sender identifiers are compared with the reference identifiers from the memory array M. If, according to the comparison results, the selected identifiers correspond to the reference identifiers of authorized message senders from the memory array M, then a response is sent to the sender of messages about the receipt of the received command and the beginning of a postal transaction. Otherwise, if, according to the comparison results, the allocated identifiers do not correspond to the reference identifiers of the authorized senders of messages from the memory array M, then a response is generated. Then set t back the delay time for transmitting the generated response response. Then, after the expiration of time t back , the generated response is sent to the sender. If received, at time t back before sending the response, the commands to terminate the network connection from the sender of the e-mail messages decrease the values of I c and I s by one. After that, the network connection with the sender of the mail messages is terminated. Otherwise, if at time t back before sending a response response, there is no command to terminate the network connection from the sender of e-mail messages, then a response response is sent to the sender. A command is then received from the sender of the messages, indicating the recipients of the e-mail message. After that, the value of I is compared with the counter of the number of connections of the message sender I cmax with the maximum possible number of connections of the message sender. Further, when the condition I c ≥I cmax is satisfied , the values of I c and I s are decreased by one and the network connection with the sender of mail messages is terminated. Otherwise, if the condition I c ≥I cmax is not met, a command is received indicating the recipients of the e-mail message and the identifiers of the message recipients are extracted from the received command. Then the allocated identifiers of message recipients are compared with the reference identifiers from the memory array M. If, according to the results of the comparison, the allocated identifiers correspond to the reference identifiers of the authorized recipients of messages from the memory array M, then a response is sent to the sender of messages about the readiness to continue the mail transaction. Otherwise, if, according to the comparison results, the allocated identifiers do not correspond to the reference identifiers of the authorized recipients of messages from the memory array M, then a response is generated. Next, set t back the delay time for transmitting the generated response response, and after the time t back, send the generated response response to the sender. If received, at time t back before sending the response, the commands to terminate the network connection from the sender of the e-mail messages decrease the values of I c and I s by one. After that, the network connection with the sender of the mail messages is terminated. Otherwise, if at time t back before sending a response response, there is no command to terminate the network connection from the sender of e-mail messages, then a response response is sent to the sender. Next, they receive the next command that initiates the transmission of mail data and send the sender of the messages a response response about the readiness to receive the text of the e-mail message. The body of the e-mail is then received and the mail transaction is completed by sending a response confirming the transaction. After that, the values of I c and I s are decreased by one and the network connection with the sender of mail messages is terminated. In the preset data, the memory array L is additionally set for storing t generated values of the delay time of intermediate responses to the sender of e-mail messages, where t = 1, 2, ..., T, and T is the total number of generated values of the delay time of intermediate responses to the sender of messages. Then, a memory array V is specified to store d intermediate responses to the sender of the email messages, where d = 1, 2 ... R, and R is the total number of intermediate responses that will be sent to the sender of the email messages before the reply message. Next, set
Figure 00000001
the counter of the generated intermediate responses stored in the memory array V. After that, the memory array J is set to store the correspondence matrix for the d-th intermediate response from the array V of the t-th generated value of the delay time for sending it to the sender of e-mail messages from the memory array L. After that, set memory array P for storing g fragments into which the response response sent to the message sender is divided, where g = 1, 2, ..., G, and G is the total number of formed fragments into which the response response sent to the message sender is divided. Then, a memory array Z is set to store ƒ the generated values of the delay time for the transmission of response fragments to the sender of e-mail messages, where ƒ = 1, 2, ..., F, and F is the total number of generated values of the delay time for sending response fragments to the sender of e-mail messages. Next, a counter of m formed fragments is set, into which the response is divided, stored in the memory array P. After that, the memory array H is set to store the matrix of correspondence to the g-th fragment from the P-th generated value of its delay time from the memory array Z. Further specify an array of memory X for storing and responding to commands from the sender of messages containing error codes in accordance with the specification of the SMTP protocol, where u = 1, 2,… U, and U is the total number of responses to commands from the sender of messages containing error codes. Then, if, after receiving the command identifying the sender, allocating the sender identifiers and comparing them with the reference ones, the allocated identifiers do not correspond to the reference identifiers of authorized senders of messages from the memory array M, then R intermediate responses are generated that will be sent to the sender of e-mail messages before the response response. After that, R intermediate responses are stored in the memory array V and the counter value is set
Figure 00000002
generated intermediate responses stored in the memory array V equal to R. Next, T values of the delay time of intermediate responses to the message sender are formed and T values of the delay time of intermediate responses to the message sender are stored in the memory array L. After that, the correspondence to the d-th intermediate response is stored in the memory array J from the array V of the t-th generated value of its delay time from the memory array L. Then the first of the R generated intermediate responses is read from the memory array J and the first of the T generated delay time values from the memory array L. Next, the first of the R generated intermediate responses is sent to the message sender through the first of the T generated delay time values. After that, the first of the R generated intermediate responses and the first of the T generated delay time values are removed, as well as a record of their correspondence from the memory arrays V, L and J, respectively. Then decrement the value of the counter
Figure 00000003
generated intermediate responses stored in the memory array V per unit. If, after sending an intermediate response, a command to terminate the network connection from the sender of the e-mail messages is received, the values of I c and I s are decreased by one, and the network connection with the sender of the messages is terminated. Otherwise, if, after sending an intermediate response, there is no command to end the network connection from the sender of e-mail messages, then the counter value is read
Figure 00000004
generated intermediate responses. Further, if the value of the counter
Figure 00000005
which means that not all intermediate responses have been sent to the sender of e-mail messages, then the next (d + l) -th of the previously generated R intermediate responses is read. After that, the next (d + 1) th of the previously generated R intermediate responses is sent through the (t + 1) -e value of the delay time to the sender of the e-mail messages, and so on until the condition is met
Figure 00000006
meaning that all intermediate replies are sent to the sender. Then after fulfilling the condition
Figure 00000007
send a response to the sender of the e-mail messages. If, after receiving a command from the sender at the beginning of a mail transaction, allocating sender identifiers, comparing them with reference identifiers, according to the comparison results, the selected identifiers do not correspond to the reference identifiers of authorized senders of messages from the memory array M, then G fragments are formed into which the response the response sent to the sender of the messages. After that, G fragments are stored, into which the response response sent to the sender of messages is divided in the memory array P. Next, the counter value m of the generated fragments is set, into which the response response stored in the memory array P is divided equal to G. Then F values of the delay time are formed for each of the fragments into which the response is divided to the sender. After that, F values of the delay time are stored for each of the fragments, into which the response response to the sender is divided in the memory array Z and the correspondences to the g-th fragment from the array P -th generated value of its delay time from the memory array Z are stored in the memory array H. read from the memory array P the first of the G generated fragments of the response response and from the memory array Z the first of the F generated values of the delay time. Then the first of the G fragments of the response response is sent to the sender of the messages through the first of the Z generated delay times. After that, the first of the G generated fragments of the response response and the first of the F generated values of the delay time are removed, as well as a record of their correspondence from the memory arrays P, Z and H, respectively. Next, the value of the counter m of the generated fragments of the response response stored in the memory array P is decreased by one. In the case of receiving, after sending a fragment of the response response, a command to complete the network connection from the sender of e-mail messages, the values of I c and I s are decreased by one, and the network connection with the sender of the messages is terminated. Otherwise, if, after sending the next fragment of the response response, there is no command to complete the network connection from the sender of e-mail messages, then the value of the counter m of the generated response response fragments is read. If the counter value m ≠ 0, which indicates that not all fragments of the response are sent to the sender of e-mail messages, then the next (g + 1) th of the previously generated G fragments of the response is read. Next, the next (g + lj-th of the previously generated G fragments of the response response is sent through the (ƒ + 1) -e value of the delay time to the sender of e-mail messages, and so on until the condition m = 0 is satisfied, meaning that all fragments of the response response are sent to the sender If, after receiving from the sender of messages a command identifying message recipients, allocating message recipient identifiers, comparing them with reference identifiers, the selected identifiers based on the comparison results do not correspond to the reference identifiers of authorized recipients of messages from the memory array M, then form U response responses to commands from the sender of messages containing error codes in accordance with the specification of the SMTP protocol. After that U response responses are stored in the memory array X and the u-th response response containing an error code is read from X to the command of the sender of e-mail messages. sender of messages electro This mail response contains an error code. If a repeated command is not received from the message sender after the waiting timeout for the received response with an error code or a command to disconnect the established connection has expired, the I c and I s values are decreased by one, and the network connection with the message sender is terminated.

Значение времени задержки для каждого из промежуточных откликов несанкционированному отправителю сообщений электронной почты, перед отправкой ответного отклика получателем, выбирают в пределах от 1 до 10 секунд.The value of the delay time for each of the intermediate responses to the unauthorized sender of e-mail messages, before sending a response by the recipient, is selected in the range from 1 to 10 seconds.

Количество промежуточных откликов, направляемых несанкционированному отправителю сообщений электронной почты, перед отправкой ответного отклика получателем, выбирают в пределах от 1000 до 20000.The number of intermediate responses to be sent to the unauthorized sender of e-mail messages before the recipient sends a response is selected between 1000 and 20,000.

Значение времени задержки для каждого из фрагментов ответного отклика, направляемого несанкционированному отправителю сообщений электронной почты, выбирают в пределах от 1 до 15 секунд.The delay time for each of the response fragments sent to the unauthorized sender of e-mail messages is selected in the range from 1 to 15 seconds.

Величину фрагментов, на которые разбивают ответный отклик несанкционированному отправителю сообщений электронной почты, выбирают в пределах от 1 до 3 байт.The size of the fragments into which to split the response to the unauthorized sender of e-mail messages is selected in the range from 1 to 3 bytes.

Для каждого ложного ответного отклика несанкционированному отправителю сообщений электронной почты значение кода ошибки выбирают случайным образом из стандартных кодов ошибки протокола SMTP.For each false response to an unauthorized sender of e-mail messages, the error code value is randomly selected from standard SMTP error codes.

Благодаря новой совокупности существенных признаков в заявленном способе обеспечивается повышение результативности защиты за счет снижения возможности обнаружения злоумышленником факта использования средств защиты, достигаемой имитацией канала связи с плохим качеством на различных этапах почтовой транзакции, за счет разбиения ответного отклика злоумышленнику на фрагменты и направления этих фрагментов через многочисленные малые интервалы времени задержки, направления ответного отклика злоумышленнику после множества промежуточных откликов, отправленных через многочисленные малые интервалы времени задержки, а также направления злоумышленнику заведомо ложных сообщений о временной или постоянной невозможности продолжения почтовой транзакции.Thanks to the new set of essential features in the claimed method, an increase in the effectiveness of protection is provided by reducing the possibility of an attacker detecting the fact of using protection means, achieved by simulating a communication channel with poor quality at various stages of a mail transaction, by splitting the response response to the attacker into fragments and sending these fragments through numerous small time delays, sending a response to the attacker after many intermediate responses sent at numerous short time intervals, as well as sending deliberately false messages to the attacker about the temporary or permanent impossibility of continuing the mail transaction.

Заявленные объекты изобретения поясняются чертежами, на которых показаны:The claimed objects of the invention are illustrated by drawings, which show:

фиг. 1 - Схема установления сетевого соединения и работы протокола SMTP;fig. 1 - Scheme of establishing a network connection and the operation of the SMTP protocol;

фиг. 2а - Блок-схема последовательности действий, реализующих заявленный способ защиты вычислительных сетей;fig. 2a - Block diagram of the sequence of actions that implement the claimed method of protecting computer networks;

фиг. 2б - Блок-схема последовательности действий, реализующих заявленный способ защиты вычислительных сетей;fig. 2b - Block diagram of the sequence of actions that implement the claimed method of protecting computer networks;

фиг. 3 - Фрагмент почтовой транзакции в момент формирования и направления несанкционированному отправителю промежуточных откликов перед ответным откликом;fig. 3 - Fragment of a postal transaction at the time of formation and sending to an unauthorized sender of intermediate responses before the response;

фиг. 4 - Фрагмент почтовой транзакции в момент формирования и направления несанкционированному отправителю ответного отклика, разбитого на множество фрагментов;fig. 4 - Fragment of a mail transaction at the time of formation and sending to an unauthorized sender of a response response, divided into many fragments;

фиг. 5 - Фрагмент почтовой транзакции в момент формирования и направления несанкционированному отправителю ложного ответного отклика, содержащего код ошибки.fig. 5 - Fragment of a mail transaction at the time of formation and sending to an unauthorized sender of a false response containing an error code.

Реализация заявленного способа объясняется следующим образом. Известно, что нежелательная электронная почта (спам), где под спамом понимается массовая рассылка коммерческой и иной рекламы или иного вида сообщений (информации) лицам, не выражавшим желания их получать, составляет от 60% до 90% всех электронных писем, отправленных по всему миру. Согласно данным «Лаборатории Касперского» в I квартале 2020 года средняя доля спама в мировом почтовом трафике составила 54,61%, доля спама в трафике российского сегмента интернета также достигла максимума в январе 2020 года и составила 52,08%, а первую пятерку стран по количеству исходящего спама возглавила Россия, на ее долю пришлось 20,74% всего мусорного трафика. Для борьбы со спамом, уже достаточно давно, разработаны и применяются ряд систем и методик, а большинство известных методов защиты от спама известны и описаны, например, в статье Ковалев С.С., Шишаев М.Г. Современные методы защиты от нежелательных почтовых рассылок // Труды Кольского научного центра РАН, вып. 7 (информационные технологии вып. 2 4/2011(7)), на стр. 100-111. Основными из них являются байесовская фильтрация, методы на основе формальных протокольных правил, процедурные методы, проверка подлинности отправителя, методы, использующие контрольные сумы и списки блокировки и др. Однако, все эти методы основаны в основном на обнаружении и блокировании уже принятых спам-сообщений, и, по сути, являются реактивными, реагирующими на факт совершенного вредоносного воздействия, в связи с чем они эффективны только при использовании известных шаблонов спам-сообщений. Кроме того, некоторые из известных методов реализуют попытки так называемого силового демонстративного блокирования спам-сообщений, например, такие методы как перенаправление спам-сообщений их отправителям, направление выявленным источникам рассылки спама средств лечения вредоносных программ, предназначенных для рассылки вирусных спам-сообщений и т.д. Применение таких методов противодействия с одной стороны, ведет к компрометации применяемых средств защиты, что способствует их последующему обходу и/или изменению стратегии вредоносного воздействия злоумышленником. С другой стороны, эффективность средств защиты, реализующих эти методы, ограничена их ресурсными возможностями, так как эти методы являются вычислительно интенсивными и требуют для эффективного применения мощных процессоров с большими объемами памяти, в то время как ресурс злоумышленников может быть практически неограничен, что подтверждается их возможностью совершать крупномасштабные DOS и DDOS атаки на основе массовой спам-рассылки с привлечением спам-ботов, что описано, например, в статье Сайты «Единой России» подверглись масштабной DDoS-атаке - INTERFAX.RU. URL: https://www.interfax.ru/russia/609414 (дата обращения 26.05.2020).The implementation of the claimed method is explained as follows. It is known that unsolicited e-mail (spam), where spam is understood as mass mailing of commercial and other advertisements or other types of messages (information) to persons who did not express a desire to receive them, constitutes from 60% to 90% of all e-mails sent worldwide. ... According to Kaspersky Lab data, in Q1 2020 the average share of spam in global mail traffic was 54.61%, the share of spam in traffic in the Russian segment of the Internet also peaked in January 2020 and amounted to 52.08%, and the top five countries in terms of The number of outgoing spam was topped by Russia, accounting for 20.74% of all junk traffic. To combat spam, a number of systems and techniques have been developed and applied for a long time, and most of the well-known methods of protection against spam are known and described, for example, in the article Kovalev S.S., Shishaev M.G. Modern methods of protection against unwanted mailings // Proceedings of the Kola Scientific Center of the Russian Academy of Sciences, vol. 7 (information technology issue 2 4/2011 (7)), on pp. 100-111. The main ones are Bayesian filtering, methods based on formal protocol rules, procedural methods, sender authentication, methods using checksums and block lists, etc. However, all these methods are based mainly on detecting and blocking already received spam messages. and, in fact, they are reactive, reacting to the fact of a perfect malicious impact, and therefore they are effective only when using known spam message templates. In addition, some of the known methods implement attempts to so-called forceful demonstrative blocking of spam messages, for example, methods such as redirecting spam messages to their senders, sending malware treatment tools designed to send viral spam messages to identified spam sources, etc. etc. The use of such countermeasures, on the one hand, leads to the compromise of the applied protection tools, which contributes to their subsequent bypass and / or a change in the strategy of malicious action by the attacker. On the other hand, the effectiveness of protection tools that implement these methods is limited by their resource capabilities, since these methods are computationally intensive and require powerful processors with large amounts of memory for effective use, while the resource of attackers can be practically unlimited, which is confirmed by their the ability to carry out large-scale DOS and DDOS attacks based on mass mailing of spam with the involvement of spambots, which is described, for example, in the article “United Russia” sites were subjected to a large-scale DDoS attack - INTERFAX.RU. URL: https://www.interfax.ru/russia/609414 (date of treatment 05/26/2020).

В связи с этим, актуальность приобретают принципиально новые подходы к борьбе со спамом, основанные на предотвращении самой доставки спам-сообщений от злоумышленника на почтовый сервер. Эти подходы смещают акцент на борьбе со спамом в сторону проактивной защиты, накладывающей ограничение на используемый злоумышленником вычислительный ресурс и вызывающей «истощение» его ресурсов в процессе почтовой транзакции без значительных вычислительных затрат со стороны защищаемой вычислительной сети. Однако известные технические решения, рассмотренные выше, реализующие вопросы проактивной защиты вычислительных сетей от массовой рассылки спам-сообщений, еще недостаточно проработаны и обладают существенными недостатками, а задачи приведения в соответствие таких мер защиты (централизованному) замыслу противодействия спаму только начинают формулироваться отдельными авторами и их кооперациями.In this regard, fundamentally new approaches to combating spam, based on preventing the delivery of spam messages from an attacker to a mail server, are gaining relevance. These approaches shift the emphasis on combating spam towards proactive protection, which imposes a restriction on the computing resource used by the attacker and causes "depletion" of its resources during the mail transaction without significant computational costs on the part of the protected computer network. However, the well-known technical solutions discussed above, which implement the issues of proactive protection of computer networks against mass mailing of spam messages, are still insufficiently developed and have significant drawbacks, and the tasks of bringing such protection measures into compliance with the (centralized) idea of countering spam are just beginning to be formulated by individual authors and their cooperatives.

Таким образом, возникает ряд противоречий между результативностью защиты вычислительных сетей от спам-сообщений и возможностями злоумышленников по компрометации средств защиты, а также между наличием необходимости управления ресурсными возможностями злоумышленника по организации массовой рассылки спам-сообщений и отсутствием технических решений по динамическому управлению параметрами почтовой транзакции со злоумышленником. На устранение указанных противоречий направлен заявленный способ.Thus, a number of contradictions arise between the effectiveness of protecting computer networks from spam messages and the ability of attackers to compromise protection means, as well as between the need to manage the resource capabilities of an attacker to organize mass mailing of spam messages and the lack of technical solutions for dynamic management of parameters of mail transactions with intruder. The claimed method is aimed at eliminating these contradictions.

Заявленный способ реализуют следующим образом. Протокол SMTP предназначен для транспортировки объектов электронной почты через множество вычислительных сетей, что известно и описано, например, в технических спецификациях (RFC, Request for Comments) сети Интернет (см., например, https://tools.ietf.org/html/rfc5321). В RFC 821, см. https://tools.ietf.org/html/rfc82l, два хоста, принимающие участие в транзакции SMTP, описаны как SMTP-sender (отправитель) и SMTP-receiver (получатель). Сеанс SMTP инициируется, когда отправитель соединяется с получателем и тот отвечает ему соответствующим сообщением, как представлено на фиг. 1. После организации коммуникационного канала и согласования параметров отправитель обычно инициирует почтовую транзакцию, состоящую из последовательности команд, задающих отправителя и получателя сообщения электронной почты, а также передачи содержимого письма (включая все заголовки и прочие структуры). Команды SMTP и данные сообщений передаются от отправителя к получателю через коммуникационный канал в форме строк. Получатель отвечает откликом на каждую из полученных команд, который содержит трехзначный номер (передается как три числовых символа), за которым обычно следует строка текста и представляет собой подтверждение (или отказ, содержащий сообщение с кодом временной или постоянной ошибки), передаваемое в форме строк от получателя к отправителю через коммуникационный канал. Диалог между отправителем и получателем осуществляется поэтапно (команда - отклик - команда …), как представлено на фиг. 1. В соответствие с RFC 5321 текст отклика может содержать несколько строк, количество которых не ограничено, но в таких случаях текст должен маркироваться так, чтобы отправитель мог узнать о завершении текста. Это требует использования для многострочных откликов специального формата, регламентирующего, чтобы каждая строка (кроме последней) начиналась кодом отклика, после которого следует дефис (-), а далее текст. В последней строке вместо дефиса используется пробел, после которого может следовать текст. В многострочных откликах коды в каждой строке должны совпадать. В некоторых случаях важные для отправителя данные передаются в тексте отклика.The claimed method is implemented as follows. The SMTP protocol is designed to transport e-mail objects across many computer networks, as is known and described, for example, in the technical specifications (RFC, Request for Comments) of the Internet (see, for example, https://tools.ietf.org/html/ rfc5321). In RFC 821, see https://tools.ietf.org/html/rfc82l, the two hosts participating in an SMTP transaction are described as SMTP-sender (sender) and SMTP-receiver (receiver). An SMTP session is initiated when the sender connects to the recipient and the recipient responds with an appropriate message, as shown in FIG. 1. After establishing the communication channel and agreeing on the parameters, the sender usually initiates a mail transaction, which consists of a sequence of commands specifying the sender and recipient of the e-mail message, as well as the transfer of the message content (including all headers and other structures). SMTP commands and message data are transmitted from sender to recipient via a communication channel in the form of strings. The recipient responds with a response to each of the received commands, which contains a three-digit number (transmitted as three numeric characters), usually followed by a line of text and represents an acknowledgment (or a rejection containing a message with a temporary or permanent error code), transmitted in the form of lines from the recipient to the sender through the communication channel. The dialogue between the sender and the receiver is carried out in stages (command - response - command ...), as shown in FIG. 1. In accordance with RFC 5321, the response text can contain several lines, the number of which is not limited, but in such cases the text must be marked so that the sender can know when the text is complete. This requires the use of a special format for multi-line responses, specifying that each line (except the last) begins with a response code, followed by a hyphen (-), and then text. The last line uses a space instead of a hyphen, followed by text. In multi-line responses, the codes on each line must match. In some cases, data important to the sender is transmitted in the response text.

Ниже приведен пример многострочного отклика:Below is an example of a multi-line response:

250 - Первая строка250 - First line

250 - Вторая строка250 - Second line

250-234 Текст, начинающийся с числа250-234 Text starting with a number

250 Последняя строка250 Last line

После завершения передачи сообщения отправитель может запросить разрыв соединения или инициировать следующую почтовую транзакцию. Почтовая транзакция включает три этапа. Началом транзакции служит команда MAIL, дающая идентификацию отправителя. После этого следует одна или несколько команд RCPT, указывающих получателей сообщения. Последний этап транзакции начинается командой DATA, которая инициирует передачу почтовых данных и завершается индикатором end of mail, который также подтверждает транзакцию. Каждый объект электронной почты состоит из конверта (envelope) и содержимого. Конверт SMTP передается как серия протокольных элементов SMTP. Конверт содержит адрес отправителя (по которому должны возвращаться отчеты об ошибках) и один или более адресов получателей, а также дополнительную информацию для расширений протокола.After the message is complete, the sender can request a disconnect or initiate the next mail transaction. There are three stages in a mail transaction. The start of the transaction is the MAIL command, which identifies the sender. This is followed by one or more RCPT commands that indicate the recipients of the message. The last stage of the transaction begins with the DATA command, which initiates the transmission of mail data, and ends with the end of mail indicator, which also confirms the transaction. Each email object consists of an envelope and content. The SMTP envelope is transmitted as a series of SMTP protocol elements. The envelope contains the sender address (to which error reports should be returned) and one or more recipient addresses, as well as additional information for protocol extensions.

Для передачи информации между удаленными локальными вычислительными сетями посредством протоколов взаимодействия устанавливают канал связи, под которым понимают информационные потоки от отправителя к получателю. Структура пакетов сообщений известна, как известен и принцип передачи пакетов в вычислительных сетях, что дает возможность анализа идентификаторов источника и получателя информационных потоков и формирования опорных идентификаторов. Так, совокупность полей адресов отправителя и получателя пакета сообщений, является идентификаторами информационных потоков. Кроме того, идентифицировать отправителя и конечного получателя сообщения будет указанный или определенный клиентом SMTP домен. В других случаях, когда клиенты SMTP связаны с реализациями протоколов POP в соответствии с RFC 937 https://tools.ietf.org/html/rfc937, RFC 1939 https://tools.ietf.org/html/rfcl939 и IMAP в соответствии с RFC 3501 https://tools.ietf.org/html/rfc3501 или клиент располагается внутри изолированной транспортной среды, идентифицированный домен будет определять промежуточного получателя, через которого будут транслироваться все сообщения электронной почты.To transfer information between remote local area networks by means of interaction protocols, a communication channel is established, which is understood as information flows from the sender to the recipient. The structure of message packets is known, and the principle of packet transmission in computer networks is also known, which makes it possible to analyze the source and destination identifiers of information flows and generate reference identifiers. So, the set of fields of the addresses of the sender and recipient of a packet of messages are identifiers of information flows. In addition, the domain specified or specified by the SMTP client will identify the sender and final recipient of the message. In other cases where SMTP clients are bundled with POP protocol implementations as per RFC 937 https://tools.ietf.org/html/rfc937, RFC 1939 https://tools.ietf.org/html/rfcl939 and IMAP as per with RFC 3501 https://tools.ietf.org/html/rfc3501 or the client resides inside an isolated transport environment, the identified domain will determine the intermediate recipient through which all e-mail messages will be broadcast.

На фиг. 2 представлена блок-схема последовательности действий, реализующих заявленный способ защиты вычислительных сетей, в которой приняты следующие обозначения:FIG. 2 shows a block diagram of the sequence of actions that implement the claimed method of protecting computer networks, in which the following designations are adopted:

N≥1 - база из опорных идентификаторов санкционированных отправителей и получателей сообщений электронной почты;N≥1 - base of reference identifiers of authorized senders and recipients of e-mail messages;

Ic - счетчик подключений отправителя сообщений;I c - counter of connections of the message sender;

Icmax - максимально возможное количество подключений отправителя сообщений электронной почты;I cmax - the maximum possible number of connections from the sender of e-mail messages;

М - массив памяти для хранения опорных идентификаторов санкционированных отправителей сообщений электронной почты;M is a memory array for storing reference identifiers of authorized senders of e-mail messages;

Is - счетчик общего количества подключений всех отправителей сообщений электронной почты;I s - counter of the total number of connections of all senders of e-mail messages;

Ismax - максимально возможное количество подключений всех отправителей сообщений электронной почты;I smax - the maximum possible number of connections for all senders of e-mail messages;

L - массив памяти для хранения t сформированных значений времени задержки промежуточных откликов отправителю сообщений электронной почты, где t=1, 2, …, Т, а T - общее количество сформированных значений времени задержки промежуточных откликов отправителю сообщений;L is a memory array for storing t generated values of the delay time of intermediate responses to the sender of e-mail messages, where t = 1, 2, ..., T, and T is the total number of generated values of the delay time of intermediate responses to the sender of messages;

V- массив памяти для хранения d промежуточных откликов отправителю сообщений электронной почты, где d=l, 2 … R, a R - общее количество промежуточных откликов, которые будут направлены отправителю сообщений электронной почты перед ответным сообщением;V is an array of memory for storing d intermediate responses to the sender of e-mail messages, where d = l, 2 ... R, a R is the total number of intermediate responses that will be sent to the sender of e-mail messages before the response message;

Figure 00000008
- счетчик сформированных промежуточных откликов, хранящихся в массиве памяти V;
Figure 00000008
- counter of generated intermediate responses stored in the memory array V;

J - массив памяти для хранения матрицы соответствия d-му промежуточному отклику из массива V t-го сформированного значения времени задержки его направления отправителю сообщений электронной почты из массива памяти L;J is a memory array for storing a matrix of correspondence with the d-th intermediate response from the array V of the t-th generated value of the delay time for sending it to the sender of e-mail messages from the memory array L;

Р - массив памяти для хранения g фрагментов, на которые разделяют ответный отклик, направляемый отправителю сообщений, где g=1, 2, …, G, a G - общее количество сформированных фрагментов, на которые разделяют ответный отклик, направляемый отправителю сообщений;P is an array of memory for storing g fragments into which the response response sent to the message sender is divided, where g = 1, 2, ..., G, and G is the total number of formed fragments into which the response response sent to the message sender is divided;

Z - массив памяти для хранения ƒ сформированных значений времени задержки передачи фрагментов ответного отклика отправителю сообщений электронной почты, где ƒ=1, 2, …, F, a F - общее количество сформированных значений времени задержки направления фрагментов ответного отклика отправителю сообщений электронной почты;Z is a memory array for storing ƒ generated values of the delay time for the transmission of response fragments to the sender of e-mail messages, where ƒ = 1, 2,…, F, and F is the total number of generated values of the delay time for sending response fragments to the sender of e-mail messages;

m - счетчик сформированных фрагментов, на которые разделяют ответный отклик, хранящихся в массиве памяти Р;m - counter of formed fragments, into which the response is divided, stored in the memory array P;

Н - массив памяти для хранения матрицы соответствия g-му фрагменту из массива Р ƒ-го сформированного значения времени его задержки из массива памяти Z;H - memory array for storing the matrix of correspondence to the g-th fragment from the P array of the ƒ-th generated value of its delay time from the memory array Z;

Х - массив памяти для хранения и ответных откликов на команды отправителя сообщений, содержащих коды ошибки в соответствии со спецификацией протокола SMTP, где u=1, 2, … U, a U - общее количество ответных откликов на команды отправителя сообщений, содержащих коды ошибки.X is an array of memory for storing and responding to commands from the sender of messages containing error codes in accordance with the SMTP protocol specification, where u = 1, 2,… U, and U is the total number of responses to commands from the sender of messages containing error codes.

Для повышения результативности защиты за счет снижения вероятности обнаружения злоумышленником факта использования средств защиты, имитируют канал связи с плохим качеством. Для этого в предварительно заданные данные для исключения возможности идентификации злоумышленником средств защиты по продолжительным задержкам ответных откликов от получателя сообщений электронной почты, а также для предотвращения возможности обхода злоумышленником средств защиты за счет установки коротких тайм-аутов ожидания ответных откликов, в предварительно заданные данные дополнительно задают (см. блок 1 на фиг. 2а) массив памяти L для хранения t сформированных значений времени задержки промежуточных откликов отправителю сообщений электронной почты, где t=1, 2, …, T, а T - общее количество сформированных значений времени задержки промежуточных откликов отправителю сообщений. Использование интервалов времени t, в течение которого отправителю сообщений будут направлены промежуточные отклики, применяется для увеличения времени диалога с отправителем спам-сообщений в процессе почтовой транзакции, например, так как показано на фиг. 3.To improve the effectiveness of protection by reducing the likelihood of an attacker discovering the fact of using protection means, they simulate a communication channel with poor quality. To do this, in the preset data to exclude the possibility of identification by the attacker of the protection means by long delays in response from the recipient of e-mail messages, as well as to prevent the possibility of the attacker bypassing the protection means by setting short timeouts for waiting for response responses, in the preset data, additionally set (see block 1 in Fig.2a) a memory array L for storing t generated values of the delay time of intermediate responses to the sender of e-mail messages, where t = 1, 2, ..., T, and T is the total number of generated values of the delay time of intermediate responses to the sender messages. The use of time intervals t, during which intermediate replies will be sent to the sender of messages, is used to increase the time of dialogue with the sender of spam messages during a mail transaction, for example, as shown in FIG. 3.

Затем задают (см. блок 1 на фиг. 2а) массив памяти V для хранения d промежуточных откликов отправителю сообщений электронной почты, где d=1, 2 … R, a R - общее количество промежуточных откликов, которые будут направлены отправителю сообщений электронной почты перед ответным сообщением. Для того, чтобы задать массив памяти, статически или динамически выделяют объем оперативной памяти (в байтах).Then set (see block 1 in Fig.2a) a memory array V for storing d intermediate responses to the sender of email messages, where d = 1, 2 ... R, and R is the total number of intermediate responses that will be sent to the sender of email messages before reply message. In order to define an array of memory, statically or dynamically allocate the amount of RAM (in bytes).

Далее задают (см. блок 1 на фиг. 2а)

Figure 00000009
счетчик сформированных промежуточных откликов, хранящихся в массиве памяти V.Next, set (see block 1 in Fig.2a)
Figure 00000009
counter of generated intermediate responses stored in memory array V.

После этого задают (см. блок 1 на фиг. 2а) массив памяти J для хранения матрицы соответствия d-му промежуточному отклику из массива V t-го сформированного значения времени задержки его направления отправителю сообщений электронной почты из массива памяти L.After that, a memory array J is set (see block 1 in Fig. 2a) to store the matrix of correspondence to the d-th intermediate response from the array V of the t-th generated value of the delay time for sending it to the sender of e-mail messages from the memory array L.

Затем для повышения результативности способа защиты и снижения вероятности обнаружения злоумышленником факта использования средств защиты, применяют разбиение ответного отклика на команды отправителя на фрагменты и направление этих фрагментов отправителю через многочисленные малые интервалы времени, чем достигают невозможность обхода средств защиты злоумышленником за счет использования коротких тайм-аутов ожидания ответного отклика, например, так как показано на фиг. 4. Для этого в предварительно заданные данные дополнительно задают (см. блок 1 на фиг. 2а) массив памяти Р для хранения g фрагментов, на которые разделяют ответный отклик, направляемый отправителю сообщений, где g=1, 2, …, G, a G - общее количество сформированных фрагментов, на которые разделяют ответный отклик, направляемый отправителю сообщений.Then, to increase the effectiveness of the protection method and reduce the likelihood of an attacker detecting the fact of using protection means, the response response to the sender's commands is split into fragments and these fragments are sent to the sender at numerous small time intervals, which makes it impossible for the attacker to bypass the means of protection through the use of short timeouts. waiting for a response, for example, as shown in FIG. 4. To do this, in the preset data additionally set (see block 1 in Fig. 2a) a memory array P for storing g fragments into which the response response sent to the message sender is divided, where g = 1, 2, ..., G, a G is the total number of formed fragments into which the response response sent to the sender of the messages is divided.

Затем задают (см. блок 1 на фиг. 2а) массив памяти Z для хранения ƒ сформированных значений времени задержки передачи фрагментов ответного отклика отправителю сообщений электронной почты, где ƒ=1, 2, …, F, a F - общее количество сформированных значений времени задержки направления фрагментов ответного отклика отправителю сообщений электронной почты.Then, a memory array Z is set (see block 1 in Fig. 2a) for storing анных generated values of the delay time for the transmission of response fragments to the sender of e-mail messages, where ƒ = 1, 2, ..., F, and F is the total number of generated time values delays in sending response fragments to the sender of e-mail messages.

Далее задают (см. блок 1 на фиг. 2а) счетчик m сформированных фрагментов, на которые разделяют ответный отклик, хранящихся в массиве памяти Р.Next, set (see block 1 in Fig.2a) a counter m formed fragments, into which the response is divided, stored in the memory array P.

После этого задают (см. блок 1 на фиг. 2а) массив памяти Н для хранения матрицы соответствия g-му фрагменту из массива Р ƒ-го сформированного значения времени его задержки из массива памяти Z.After that, a memory array H is set (see block 1 in Fig. 2a) for storing the matrix of correspondence to the g-th fragment from the array P of the сформиров-th generated value of its delay time from the memory array Z.

Далее для введения злоумышленника в заблуждение о статусе почтовой транзакции и увеличении времени диалога с ним, а также для предотвращения процесса рассылки спам-сообщений спам-ботами, не способными исправлять ошибки, полученные в ответном отклике и направлять получателю повторные команды после исправления, при идентификации злоумышленника, ответные отклики, содержащие код ошибки, будут направляться ему в независимости от правильности его реагирования на ответный отклик, например, так как показано на фиг. 5. Для этого задают (см. блок 1 на фиг. 2а) массив памяти X для хранения u ответных откликов на команды отправителя сообщений, содержащих коды ошибки в соответствии со спецификацией протокола SMTP, где u=1, 2, … U, a U - общее количество ответных откликов на команды отправителя сообщений, содержащих коды ошибки.Further, to mislead the attacker about the status of the mail transaction and increase the time of dialogue with him, as well as to prevent the process of sending spam messages by spam bots that are unable to correct errors received in the response response and send repeated commands to the recipient after correction, when the attacker is identified , response responses containing an error code will be sent to it regardless of whether it responds correctly to the response response, for example, as shown in FIG. 5. To do this, set (see block 1 in Fig. 2a) an array of memory X for storing u response responses to commands of the sender of messages containing error codes in accordance with the specification of the SMTP protocol, where u = 1, 2, ... U, a U - the total number of responses to the commands of the sender of messages containing error codes.

Затем, если после установления сетевого соединения с отправителем (см. блок 2 на фиг. 2а), направления отправителю инициирующего сеанс SMTP отклика (см. блок 3 на фиг. 2а), увеличения значений Is (см. блок 4 на фиг. 2а) и Ic (см. блок 5 на фиг. 2а) на единицу, сравнения значений Is и Ismax (см. блок 6 на фиг. 2а), и в случае выполнения условия Is≥Ismax приема (см. блок 7 на фиг. 2а) идентифицирующей отправителя команды, выделения (см. блок 8 на фиг. 2а) идентификаторов отправителя и их сравнения (см. блок 9 на фиг. 2а) с опорными, выделенные идентификаторы не соответствуют опорным идентификаторам санкционированных отправителей сообщений из массива памяти М, то формируют (см. блок 10 на фиг. 2а) R промежуточных откликов, которые будут направлены отправителю сообщений электронной почты перед ответным откликом.Then, if after establishing a network connection with the sender (see block 2 in Fig.2a), sending the sender initiating the SMTP session (see block 3 in Fig.2a), increasing the values of I s (see block 4 in Fig.2a) ) and I c (see block 5 in Fig.2a) per unit, comparing the values of I s and I smax (see block 6 in Fig.2a), and if the condition I s ≥I smax of reception is satisfied (see block 7 in Fig.2a) identifying the sender of the command, allocating (see block 8 in Fig.2a) sender identifiers and comparing them (see block 9 in Fig.2a) with reference ones, the allocated identifiers do not correspond to the reference identifiers of authorized message senders from the array memory M, then generate (see block 10 in Fig. 2a) R intermediate responses, which will be sent to the sender of e-mail messages before the response response.

После этого запоминают (см. блок 11 на фиг. 2а) R промежуточных откликов в массиве памяти V и устанавливают (см. блок 12 на фиг. 2а) значение счетчика

Figure 00000010
сформированных промежуточных откликов, хранящихся в массиве памяти V равным R.After that, R intermediate responses are stored (see block 11 in Fig. 2a) in the memory array V and the counter value is set (see block 12 in Fig. 2a)
Figure 00000010
generated intermediate responses stored in the memory array V equal to R.

Далее формируют (см. блок 13 на фиг. 2а) Т значений времени задержки промежуточных откликов отправителю сообщений и запоминают (см. блок 14 на фиг. 2а) Т значений времени задержки промежуточных откликов отправителю сообщений в массиве памяти L.Next, T values of the delay time of intermediate responses to the message sender are generated (see block 13 in Fig. 2a) and T values of the delay time of intermediate responses to the message sender are stored (see block 14 in Fig. 2a) in the memory array L.

После этого запоминают (см. блок 15 на фиг. 2а) в массиве памяти J соответствие d-му промежуточному отклику из массива V t-го сформированного значения времени его задержки из массива памяти L.After that, remember (see block 15 in Fig.2a) in the memory array J the correspondence to the d-th intermediate response from the array V of the t-th generated value of its delay time from the memory array L.

Затем считывают (см. блок 16 на фиг.2а) из массива памяти J первый из R сформированных промежуточных откликов и из массива памяти L первое из Т сформированных значений времени задержки.Then read (see block 16 in Fig. 2a) from the memory array J the first of the R generated intermediate responses and from the memory array L the first of the T generated delay time values.

Далее направляют (см. блок 17 на фиг. 2а) отправителю сообщений первый из R сформированных промежуточных откликов через первое из Т сформированных значений времени задержки. Этим достигают увеличение продолжительности диалога с отправителем сообщений.Next, the first of the R generated intermediate responses is sent (see block 17 in Fig. 2a) to the message sender through the first of the T generated delay time values. This achieves an increase in the duration of the dialogue with the sender of the messages.

После этого удаляют (см. блок 18 на фиг. 2а) первый из R сформированных промежуточных откликов и первое из Т сформированных значений времени задержки, а также запись об их соответствии из массивов памяти V, L и J соответственно.After that, the first of the R generated intermediate responses and the first of the T generated delay time values are deleted (see block 18 in Fig. 2a), as well as a record of their correspondence from the memory arrays V, L and J, respectively.

Затем уменьшают (см. блок 19 на фиг. 2а) значение счетчика

Figure 00000011
сформированных промежуточных откликов, хранящихся в массиве памяти V на единицу.Then decrease (see block 19 in Fig.2a) the value of the counter
Figure 00000011
generated intermediate responses stored in the memory array V per unit.

В случае получения после отправки промежуточного отклика команды на завершение сетевого соединения от отправителя сообщений электронной почты (см. блок 20 на фиг. 2а) значения Ic и Is уменьшаются на единицу (см. блок 53 на фиг. 2б), а сетевое соединение с отправителем сообщений завершается (см. блок 54 на фиг. 2б).If, after sending an intermediate response, a command to complete a network connection is received from the sender of e-mail messages (see block 20 in Fig.2a), the values of I c and I s are decreased by one (see block 53 in Fig.2b), and the network connection with the message sender ends (see block 54 in Fig. 2b).

В ином случае, если, после отправки промежуточного отклика, команды на завершение сетевого соединения от отправителя сообщений электронной почты не последовало, то считывают (см. блок 21 на фиг. 2а) значение счетчика

Figure 00000012
сформированных промежуточных откликов.Otherwise, if, after sending the intermediate response, there is no command to complete the network connection from the sender of the e-mail messages, then read (see block 21 in Fig.2a) the value of the counter
Figure 00000012
generated intermediate responses.

Далее, в случае, если значение счетчика

Figure 00000013
что говорит о том, что еще не все промежуточные отклики направлены отправителю сообщений электронной почты, то считывают (см. блок 16 на фиг. 2а) очередной (d+1)-й из ранее сформированных R промежуточных откликов.Further, if the value of the counter
Figure 00000013
which means that not all intermediate responses have been sent to the sender of e-mail messages, then the next (d + 1) th of the previously generated R intermediate responses is read (see block 16 in Fig. 2a).

После этого направляют (см. блок 17 на фиг. 2а) очередной (d+1)-й из ранее сформированных R промежуточных откликов через (t+1)-е значение времени задержки отправителю сообщений электронной почты, и так до тех пор, пока не будет выполнено условие

Figure 00000014
(см. блок 21 на фиг. 2а), означающее, что все промежуточные отклики направлены отправителю.After that, the next (d + 1) th of the previously generated R intermediate responses is sent (see block 17 in Fig. 2a) through the (t + 1) th value of the delay time to the sender of the e-mail messages, and so on until the condition will not be met
Figure 00000014
(see block 21 in Fig. 2a), meaning that all intermediate responses are sent to the sender.

Затем после выполнения условия

Figure 00000015
направляют (см. блок 22 на фиг. 2а) ответный отклик отправителю сообщений электронной почты.Then after fulfilling the condition
Figure 00000015
sending (see block 22 in Fig. 2a) a response response to the sender of the e-mail messages.

В случае если после приема (см. блок 23 на фиг. 2а) от отправителя сообщений команды на начало почтовой транзакции, выделения идентификаторов отправителя (см. блок 24 на фиг. 2а), их сравнения с опорными идентификаторами (см. блок 25 на фиг. 2а), по результатам сравнения выделенные идентификаторы не соответствуют опорным идентификаторам санкционированных отправителей сообщений из массива памяти М, то формируют (см. блок 27 на фиг. 2а) G фрагментов на которые разделяют ответный отклик, направляемый отправителю сообщений.If, after receiving (see block 23 in Fig. 2a) from the sender of messages, the command to start a mail transaction, allocation of sender identifiers (see block 24 in Fig. 2a), their comparison with reference identifiers (see block 25 in Fig. 2a), based on the comparison results, the selected identifiers do not correspond to the reference identifiers of authorized message senders from the memory array M, then G fragments are formed (see block 27 in Fig. 2a) into which the response response sent to the message sender is divided.

После этого запоминают (см. блок 28 на фиг. 2а) G фрагментов, на которые разделяют ответный отклик, направляемый отправителю сообщений, в массиве памяти Р.After that, G fragments are stored (see block 28 in Fig.2a) into which the response response sent to the sender of the messages is divided in the memory array P.

Далее устанавливают (см. блок 29 на фиг. 2а) значение счетчика m сформированных фрагментов, на которые разделяют ответный отклик, хранящихся в массиве памяти Р, равным G.Next, set (see block 29 in Fig.2a) the value of the counter m of the generated fragments, into which the response is divided, stored in the memory array P equal to G.

Затем формируют (см. блок 30 на фиг. 2а) F значений времени задержки для каждого из фрагментов, на которые разделяют ответный отклик отправителю.Then form (see block 30 in Fig. 2a) F values of the delay time for each of the fragments into which the response is divided to the sender.

После этого запоминают (см. блок 31 на фиг. 2а) F значений времени задержки для каждого из фрагментов, на которые разделяют ответный отклик отправителю в массиве памяти Z и запоминают (см. блок 32 на фиг. 2б) в массиве памяти Н соответствия g-му фрагменту из массива Р ƒ-го сформированного значения времени его задержки из массива памяти Z.After that, F values of the delay time for each of the fragments are stored (see block 31 in Fig.2a) F values of the delay time for each of the fragments, into which the response response to the sender is divided in the memory array Z and stored (see block 32 in Fig.2b) in the memory array H of the correspondence g -th fragment from the P array of the го-th generated value of its delay time from the memory array Z.

Далее считывают (см. блок 33 на фиг. 2б) из массива памяти Р первый из G сформированных фрагментов ответного отклика и из массива памяти Z первое из F сформированных значений времени задержки.Next, read (see block 33 in Fig. 2b) from the memory array P the first of the G generated fragments of the response response and from the memory array Z the first of the F generated delay time values.

Затем направляют (см. блок 34 на фиг. 2б) отправителю сообщений первый из G фрагментов ответного отклика через первое из Z сформированных значений времени задержки.Then the first of the G fragments of the response response is sent (see block 34 in Fig. 2b) to the message sender through the first of the Z generated delay times.

После этого удаляют (см. блок 35 на фиг. 2б) первый из G сформированных фрагментов ответного отклика и первое из F сформированных значений времени задержки, а также запись об их соответствии из массивов памяти Р, Z и H соответственно.After that, the first of the G generated fragments of the response response and the first of the F generated delay time values are deleted (see block 35 in Fig. 2b), as well as a record of their correspondence from the memory arrays P, Z and H, respectively.

Далее уменьшают (см. блок 36 на фиг. 2б) значение счетчика m сформированных фрагментов ответного отклика, хранящихся в массиве памяти Р, на единицу. Этим обеспечивают учет отправленных фрагментов ответного отклика.Next, the value of the counter m of the generated response response fragments stored in the memory array P is reduced (see block 36 in Fig. 2b) by one. This ensures that the sent response fragments are accounted for.

В случае получения после отправки фрагмента ответного отклика команды на завершение сетевого соединения от отправителя сообщений электронной почты (см. блок 37 на фиг. 2б) значения Ic и Is уменьшаются на единицу (см. блок 53 на фиг. 2б), а сетевое соединение с отправителем сообщений завершается (см. блок 54 на фиг. 2б).In the case of receiving, after sending a fragment of the response response, a command to complete the network connection from the sender of e-mail messages (see block 37 in Fig.2b), the values of I c and I s decrease by one (see block 53 in Fig.2b), and the network the connection with the message sender is terminated (see block 54 in FIG. 2b).

В ином случае, если после отправки очередного фрагмента ответного отклика команды на завершение сетевого соединения от отправителя сообщений электронной почты не последовало, то считывают (см. блок 38 на фиг. 2б) значение счетчика m сформированных фрагментов ответного отклика.Otherwise, if after sending the next fragment of the response response there is no command to complete the network connection from the sender of e-mail messages, then read (see block 38 in Fig. 2b) the value of the counter m of the generated response response fragments.

В случае, если значение счетчика m≠0, что говорит о том, что еще не все фрагменты ответного отклика направлены отправителю сообщений электронной почты, то считывают (см. блок 33 на фиг. 2б) очередной (g+l)-й из ранее сформированных G фрагментов ответного отклика. Далее направляют (см. блок 34 на фиг. 2б) очередной (g+1)-й из ранее сформированных G фрагментов ответного отклика через (ƒ+1)-e значение времени задержки отправителю сообщений электронной почты, и так до тех пор, пока не будет выполнено условие m=0, означающее, что все фрагменты ответного отклика направлены отправителю.If the value of the counter m ≠ 0, which indicates that not all fragments of the response have been sent to the sender of e-mail messages, then the next (g + l) -th from earlier is read (see block 33 in Fig. 2b). formed G fragments of the response. Next, the next (g + 1) th of the previously generated G fragments of the response response is sent (see block 34 in Fig. 2b) through the (ƒ + 1) -e value of the delay time to the sender of the e-mail messages, and so on until the condition m = 0 will not be met, which means that all fragments of the response are sent to the sender.

В случае если после приема (см. блок 39 на фиг. 2б) от отправителя сообщений команды, идентифицирующей получателей сообщений, сравнения (см. блок 40 на фиг. 2б) значения Ic счетчика количества подключений отправителя сообщений Icmax максимально возможным количеством подключений отправителя сообщений и в случае выполнения условия Ic≥Icmax выделения (см. блок 41 на фиг. 2б) идентификаторов получателей сообщений, их сравнения (см. блок 42 на фиг. 2б) с опорными идентификаторами выделенные идентификаторы по результатам сравнения не соответствуют опорным идентификаторам санкционированных получателей сообщений из массива памяти М, то формируют (см. блок 43 на фиг. 2б) U ответных откликов на команды отправителя сообщений, содержащих коды ошибки в соответствии со спецификацией протокола SMTP.If, after receiving (see block 39 in Fig.2b) from the sender of messages, the command identifying the recipients of the messages, comparing (see block 40 in Fig.2b) the values Ic of the counter of the number of connections of the sender of messages I cmax with the maximum possible number of connections of the sender messages and in the case of fulfilling the condition I c ≥I cmax allocation (see block 41 in Fig.2b) identifiers of message recipients, their comparison (see block 42 in Fig.2b) with reference identifiers, the allocated identifiers do not correspond to the reference identifiers according to the comparison results authorized recipients of messages from the memory array M, then form (see block 43 in Fig. 2b) U response responses to commands of the sender of messages containing error codes in accordance with the specification of the SMTP protocol.

После этого запоминают (см. блок 44 на фиг. 2б) U ответных откликов в массиве памяти X и считывают (см. блок 45 на фиг. 2б) из X u-й ответный отклик, содержащий код ошибки, на команду отправителя сообщений электронной почты.After that, U response responses are stored (see block 44 in Fig. 2b) in the memory array X and read (see block 45 in Fig. 2b) from the X u-th response response containing an error code to the command of the sender of e-mail messages ...

Далее направляют (см. блок 46 на фиг. 2б) отправителю сообщений электронной почты ответный отклик, содержащий код ошибки.Next, a response response containing an error code is sent (see block 46 in Fig. 2b) to the sender of the e-mail messages.

В случае неполучения повторной команды от отправителя сообщений по истечении времени тайм-аута ее ожидания на полученный отклик с кодом ошибки или получения (см. блок 47 на фиг. 2б) команды о разрыве установленного соединения, значения Ic и Is уменьшаются на единицу (см. блок 53 на фиг. 2б), а сетевое соединение с отправителем сообщений завершается (см. блок 54 на фиг. 2б).If a repeated command is not received from the message sender after the timeout expires for the received response with an error code or receipt (see block 47 in Fig.2b) of the command to disconnect the established connection, the values of I c and I s are decreased by one ( see block 53 in Fig. 2b), and the network connection with the message sender is terminated (see block 54 in Fig. 2b).

В ином случае отправителю сообщений электронной почты направляется ответный отклик (см. блок 48 на фиг. 2б), после чего принимается (см. блок 49 на фиг. 2б) команда, инициирующая передачу почтовых данных, отправителю направляется ответный отклик (см. блок 50 на фиг. 2б), затем принимается текст сообщения электронной почты (см. блок 51 на фиг. 2б) и завершается (см. блок 52 на фиг. 2б) почтовая транзакция. Далее значения Ic и Is уменьшаются на единицу (см. блок 53 на фиг. 2б), а сетевое соединение с отправителем сообщений завершается (см. блок 54 на фиг. 2б).Otherwise, a response is sent to the sender of e-mail messages (see block 48 in Fig.2b), after which a command is received (see block 49 in Fig.2b), initiating the transfer of mail data, a response is sent to the sender (see block 50 in Fig. 2b), then the text of the e-mail message is received (see block 51 in Fig. 2b) and the mail transaction is completed (see block 52 in Fig. 2b). Further, the values of I c and I s are decreased by one (see block 53 in Fig. 2b), and the network connection with the message sender is terminated (see block 54 in Fig. 2b).

Для исключения компрометации средств защиты по постоянному значению времени задержки промежуточных откликов, значения времени задержки для каждого из промежуточных откликов несанкционированному отправителю сообщений электронной почты, перед отправкой ответного отклика получателем, выбирают в пределах от 1 до 10 секунд.To avoid the compromise of security measures by a constant value of the delay time of intermediate responses, the delay time for each of the intermediate responses to the unauthorized sender of e-mail messages, before sending a response by the recipient, is selected in the range from 1 to 10 seconds.

Количество промежуточных откликов, направляемых несанкционированному отправителю сообщений электронной почты, перед отправкой ответного отклика получателем, выбирают в пределах от 1000 до 20000.The number of intermediate responses to be sent to the unauthorized sender of e-mail messages before the recipient sends a response is selected between 1000 and 20,000.

Значение времени задержки для каждого из фрагментов ответного отклика, направляемого несанкционированному отправителю сообщений электронной почты, выбирают в пределах от 1 до 15 секунд.The delay time for each of the response fragments sent to the unauthorized sender of e-mail messages is selected in the range from 1 to 15 seconds.

Величину фрагментов, на которые разбивают ответный отклик несанкционированному отправителю сообщений электронной почты, выбирают в пределах от 1 до 3 байт.The size of the fragments into which to split the response to the unauthorized sender of e-mail messages is selected in the range from 1 to 3 bytes.

Для каждого ложного ответного отклика несанкционированному отправителю сообщений электронной почты значение кода ошибки выбирают случайным образом из стандартных кодов ошибки протокола SMTP.For each false response to an unauthorized sender of e-mail messages, the error code value is randomly selected from standard SMTP error codes.

Таким образом, в заявленном способе обеспечивается достижение сформулированной цели, заключающейся в повышении результативности защиты за счет снижения возможности обнаружения злоумышленником факта использования средств защиты, достигаемой имитацией канала связи с плохим качеством на различных этапах почтовой транзакции, за счет разбиения ответного отклика злоумышленнику на фрагменты и направления этих фрагментов через многочисленные малые интервалы времени задержки, направления ответного отклика злоумышленнику после множества промежуточных откликов, отправленных через многочисленные малые интервалы времени задержки, а также направления злоумышленнику заведомо ложных сообщений о временной или постоянной невозможности продолжения почтовой транзакции.Thus, the claimed method ensures the achievement of the formulated goal, which is to increase the effectiveness of protection by reducing the possibility of an attacker detecting the fact of using protection means, achieved by simulating a communication channel with poor quality at various stages of a mail transaction, by splitting the response to the attacker into fragments and directions of these fragments at numerous short time intervals, forwarding a response to the attacker after many intermediate responses sent at multiple short time intervals, as well as sending deliberately false messages to the attacker about the temporary or permanent impossibility of continuing the mail transaction.

Claims (6)

1. Способ защиты вычислительных сетей, заключающийся в том, что предварительно задают N≥1 опорных идентификаторов санкционированных отправителей и получателей сообщений электронной почты, Ic счетчик количества подключений отправителя сообщений, Icmax максимально возможное количество подключений отправителя сообщений электронной почты, tзaд время задержки, через которое передают ответный отклик отправителю сообщений электронной почты, М массив памяти для хранения опорных идентификаторов санкционированных отправителей сообщений электронной почты, Is счетчик общего количества подключений всех отправителей сообщений электронной почты, Ismax максимально возможное количество подключений всех отправителей сообщений электронной почты, устанавливают сетевое соединение с отправителем почтовых сообщений, направляют отправителю отклик, инициирующий начало сеанса SMTP со стороны получателя, увеличивают значение счетчика Ic количества подключений от отправителя сообщений на единицу, увеличивают значение счетчика Is общего количества подключений от всех отправителей сообщений, сравнивают значение счетчика Is количества подключений от всех отправителей сообщений с Ismax максимально возможным количеством подключений всех отправителей сообщений, при выполнении условия Is≥Ismax уменьшают значения Ic и Is на единицу, завершают сетевое соединение с отправителем почтовых сообщений, в ином случае, при невыполнении условия Is≥Ismax принимают команду, инициирующую отправителя почтовых сообщений и идентифицирующую его, выделяют из принятой команды идентификаторы отправителя сообщений, сравнивают выделенные идентификаторы отправителя сообщений с опорными идентификаторами из массива памяти М, если по результатам сравнения выделенные идентификаторы соответствуют опорным идентификаторам санкционированных отправителей сообщений из массива памяти М, то направляют ответный отклик отправителю сообщений о готовности к почтовой транзакции, в ином случае, если по результатам сравнения выделенные идентификаторы не соответствуют опорным идентификаторам санкционированных отправителей сообщений из массива памяти М, то формируют ответный отклик, устанавливают tзaд время задержки передачи сформированного ответного отклика, по истечении времени tзaд направляют сформированный ответный отклик отправителю, в случае получения во время t3ad перед отправкой ответного отклика команды на завершение сетевого соединения от отправителя сообщений электронной почты уменьшают значения Ic и Is на единицу, завершают сетевое соединение с отправителем почтовых сообщений, в ином случае, если во время tзaд перед отправкой ответного отклика, команды на завершение сетевого соединения от отправителя сообщений электронной почты не последовало, то направляют отправителю ответный отклик, принимают от отправителя сообщений команду на начало почтовой транзакции, идентифицирующую отправителя сообщений электронной почты, выделяют из принятой команды идентификаторы отправителя сообщений, сравнивают выделенные идентификаторы отправителя сообщений с опорными идентификаторами из массива памяти М, если по результатам сравнения выделенные идентификаторы соответствуют опорным идентификаторам санкционированных отправителей сообщений из массива памяти М, то направляют ответный отклик отправителю сообщений о приеме полученной команды и начале почтовой транзакции, в ином случае, если по результатам сравнения выделенные идентификаторы не соответствуют опорным идентификаторам санкционированных отправителей сообщений из массива памяти М, то формируют ответный отклик, устанавливают tзaд время задержки передачи сформированного ответного отклика, по истечении времени tзaд направляют сформированный ответный отклик отправителю, в случае получения во время tзaд перед отправкой ответного отклика команды на завершение сетевого соединения от отправителя сообщений электронной почты уменьшают значения Ic и Is на единицу, завершают сетевое соединение с отправителем почтовых сообщений, в ином случае, если во время tзaд перед отправкой ответного отклика, команды на завершение сетевого соединения от отправителя сообщений электронной почты не последовало, то направляют отправителю ответный отклик, принимают от отправителя сообщений команду, указывающую получателей сообщения электронной почты, сравнивают значение счетчика Ic количества подключений отправителя сообщений с Icmax максимально возможным количеством подключений отправителя сообщений, при выполнении условия Ic≥Icmax уменьшают значения Ic и Is на единицу, завершают сетевое соединение с отправителем почтовых сообщений, в ином случае, при невыполнении условия Ic≥Icmax принимают команду, указывающую получателей сообщения электронной почты, выделяют из принятой команды идентификаторы получателей сообщений, сравнивают выделенные идентификаторы получателей сообщений с опорными идентификаторами из массива памяти М, если по результатам сравнения выделенные идентификаторы соответствуют опорным идентификаторам санкционированных получателей сообщений из массива памяти М, то направляют ответный отклик отправителю сообщений о готовности продолжить почтовую транзакцию, в ином случае, если по результатам сравнения выделенные идентификаторы не соответствуют опорным идентификаторам санкционированных получателей сообщений из массива памяти М, то формируют ответный отклик, устанавливают tзaд время задержки передачи сформированного ответного отклика, по истечении времени tзaд направляют сформированный ответный отклик отправителю, в случае получения во время tзaд перед отправкой ответного отклика команды на завершение сетевого соединения от отправителя сообщений электронной почты уменьшают значения Ic и Is на единицу, завершают сетевое соединение с отправителем почтовых сообщений, в ином случае, если во время tзaд перед отправкой ответного отклика, команды на завершение сетевого соединения от отправителя сообщений электронной почты не последовало, то направляют отправителю ответный отклик, принимают очередную команду, инициирующую передачу почтовых данных, направляют отправителю сообщений ответный отклик о готовности приема текста сообщения электронной почты, принимают текст сообщения электронной почты, завершают почтовую транзакцию передачей отклика, подтверждающего транзакцию, уменьшают значения Ic и Is на единицу, завершают сетевое соединение с отправителем почтовых сообщений, отличающийся тем, что в предварительно заданные данные дополнительно задают L массив памяти для хранения t сформированных значений времени задержки промежуточных откликов отправителю сообщений электронной почты, где t=1, 2, …, T, а T - общее количество сформированных значений времени задержки промежуточных откликов отправителю сообщений, V - массив памяти для хранения d промежуточных откликов отправителю сообщений электронной почты, d=1, 2 ... R, где R - общее количество промежуточных откликов, которые будут направлены отправителю сообщений электронной почты перед ответным сообщением,
Figure 00000016
счетчик сформированных промежуточных откликов, хранящихся в массиве памяти V, J массив памяти для хранения матрицы соответствия d-му промежуточному отклику из массива V t-го сформированного значения времени задержки его направления отправителю сообщений электронной почты из массива памяти L, Р массив памяти для хранения g фрагментов на которые разделяют ответный отклик, направляемый отправителю сообщений, где g=1, 2, …, G, a G - общее количество сформированных фрагментов, на которые разделяют ответный отклик, направляемый отправителю сообщений, Z массив памяти для хранения ƒ сформированных значений времени задержки передачи фрагментов ответного отклика отправителю сообщений электронной почты, где ƒ=1, 2, …, F, a F - общее количество сформированных значений времени задержки направления фрагментов ответного отклика отправителю сообщений электронной почты, m счетчик сформированных фрагментов, на которые разделяют ответный отклик, хранящихся в массиве памяти Р, Н массив памяти для хранения матрицы соответствия g-му фрагменту из массива Р ƒ-го сформированного значения времени его задержки из массива памяти Z, X - массив памяти для хранения и ответных откликов на команды отправителя сообщений, содержащих коды ошибки в соответствии со спецификацией протокола SMTP, где u=1, 2, ... U, a U - общее количество ответных откликов на команды отправителя сообщений, содержащих коды ошибки, если после приема идентифицирующей отправителя команды, выделения идентификаторов отправителя и их сравнения с опорными, выделенные идентификаторы не соответствуют опорным идентификаторам санкционированных отправителей сообщений из массива памяти М, то формируют R промежуточных откликов, которые будут направлены отправителю сообщений электронной почты перед ответным откликом, запоминают R промежуточных откликов в массиве памяти V, устанавливают значение счетчика
Figure 00000017
сформированных промежуточных откликов, хранящихся в массиве памяти V равным R, формируют Т значений времени задержки промежуточных откликов отправителю сообщений, запоминают Т значений времени задержки промежуточных откликов отправителю сообщений в массиве памяти L, запоминают в массиве памяти J соответствие d-му промежуточному отклику из массива V t-го сформированного значения времени его задержки из массива памяти L, считывают из массива памяти J первый из R сформированных промежуточных откликов и из массива памяти L первое из Т сформированных значений времени задержки, направляют отправителю сообщений первый из R сформированных промежуточных откликов через первое из Т сформированных значений времени задержки, удаляют первый из R сформированных промежуточных откликов и первое из Т сформированных значений времени задержки, а также запись об их соответствии из массивов памяти V, L и J соответственно, уменьшают значение счетчика
Figure 00000018
сформированных промежуточных откликов, хранящихся в массиве памяти V на единицу, в случае получения после отправки промежуточного отклика команды на завершение сетевого соединения от отправителя сообщений электронной почты значения Ic и Is уменьшаются на единицу, а сетевое соединение с отправителем сообщений завершается, в ином случае, если, после отправки промежуточного отклика, команды на завершение сетевого соединения от отправителя сообщений электронной почты не последовало, то считывают значение счетчика
Figure 00000019
сформированных промежуточных откликов, в случае, если значение счетчика
Figure 00000020
что говорит о том, что еще не все промежуточные отклики направлены отправителю сообщений электронной почты, то считывают очередной (d+l)-й из ранее сформированных R промежуточных откликов, направляют очередной (d+l)-й из ранее сформированных R промежуточных откликов через (t+l)-e значение времени задержки отправителю сообщений электронной почты, и так до тех пор, пока не будет выполнено условие
Figure 00000021
означающее, что все промежуточные отклики направлены отправителю, после выполнения условия
Figure 00000022
направляют ответный отклик отправителю сообщений электронной почты, в случае если после приема от отправителя сообщений команды на начало почтовой транзакции, выделения идентификаторов отправителя, их сравнения с опорными идентификаторами, по результатам сравнения выделенные идентификаторы не соответствуют опорным идентификаторам санкционированных отправителей сообщений из массива памяти М, то формируют G фрагментов, на которые разделяют ответный отклик, направляемый отправителю сообщений, запоминают G фрагментов, на которые разделяют ответный отклик, направляемый отправителю сообщений, в массиве памяти Р, устанавливают значение счетчика m сформированных фрагментов, на которые разделяют ответный отклик, хранящихся в массиве памяти Р, равным G, формируют F значений времени задержки для каждого из фрагментов, на которые разделяют ответный отклик отправителю, запоминают F значений времени задержки для каждого из фрагментов, на которые разделяют ответный отклик отправителю в массиве памяти Z, запоминают в массиве памяти Н соответствия g-му фрагменту из массива Р ƒ-го сформированного значения времени его задержки из массива памяти Z, считывают из массива памяти Р первый из G сформированных фрагментов ответного отклика и из массива памяти Z первое из F сформированных значений времени задержки, направляют отправителю сообщений первый из G фрагментов ответного отклика через первое из Z сформированных значений времени задержки, удаляют первый из G сформированных фрагментов ответного отклика и первое из F сформированных значений времени задержки, а также запись об их соответствии из массивов памяти Р, Z и Н соответственно, уменьшают значение счетчика m сформированных фрагментов ответного отклика, хранящихся в массиве памяти Р, на единицу, в случае получения после отправки фрагмента ответного отклика команды на завершение сетевого соединения от отправителя сообщений электронной почты значения Ic и Is уменьшаются на единицу, а сетевое соединение с отправителем сообщений завершается, в ином случае, если после отправки очередного фрагмента ответного отклика команды на завершение сетевого соединения от отправителя сообщений электронной почты не последовало, то считывают значение счетчика m сформированных фрагментов ответного отклика, в случае, если значение счетчика m≠0, что говорит о том, что еще не все фрагменты ответного отклика направлены отправителю сообщений электронной почты, то считывают очередной (g+1)-й из ранее сформированных G фрагментов ответного отклика, направляют очередной (g+1)-й из ранее сформированных G фрагментов ответного отклика через (ƒ+1)-е значение времени задержки отправителю сообщений электронной почты, и так до тех пор пока не будет выполнено условие m=0, означающее, что все фрагменты ответного отклика направлены отправителю, в случае если после приема от отправителя сообщений команды, идентифицирующей получателей сообщений, выделения идентификаторов получателей сообщений, их сравнения с опорными идентификаторами по результатам сравнения выделенные идентификаторы не соответствуют опорным идентификаторам санкционированных получателей сообщений из массива памяти М, то формируют U ответных откликов на команды отправителя сообщений, содержащих коды ошибки в соответствии со спецификацией протокола SMTP, запоминают U ответных откликов в массиве памяти X, считывают из X u-й ответный отклик, содержащий код ошибки, на команду отправителя сообщений электронной почты, направляют отправителю сообщений электронной почты ответный отклик, содержащий код ошибки, в случае неполучения повторной команды от отправителя сообщений по истечении времени тайм-аута ожидания на полученный отклик с кодом ошибки или получения команды о разрыве установленного соединения, значения Ic и Is уменьшаются на единицу, а сетевое соединение с отправителем сообщений завершается.1. A method for protecting computer networks, which preliminarily sets N≥1 reference identifiers of authorized senders and recipients of e-mail messages, I c counter of the number of connections of the sender of messages, I cmax the maximum possible number of connections of the sender of e-mail, t pre the delay time through which the response is transmitted to the sender of e-mail messages, M memory array for storing the reference identifiers of authorized senders of e-mail messages, I s counter of the total number of connections of all senders of e-mail messages, I smax the maximum possible number of connections of all senders of e-mail messages, establish a network connection with the sender of mail messages, send a response to the sender, initiating the beginning of an SMTP session from the recipient, increase the value of the counter I c the number of connections from the sender of messages by one, increase t the value of the counter I s of the total number of connections from all senders of messages, compare the value of the counter I s of the number of connections from all senders of messages with I smax with the maximum possible number of connections of all senders of messages, if the condition I s ≥I smax is satisfied , the values of I c and I s are reduced by one, complete the network connection with the sender of mail messages, otherwise, if the condition I s ≥I smax is not met, they receive a command that initiates the sender of mail messages and identifies him, extract the sender's identifiers from the received command, compare the allocated sender identifiers with the reference identifiers from the memory array M, if, according to the comparison results, the allocated identifiers correspond to the reference identifiers of the authorized senders of messages from the memory array M, then a response is sent to the sender of messages about the readiness for a mail transaction, otherwise, if the comparison results allocated IDs do not correspond to the reference identifiers authorized senders messages from the memory array M, the formed back response is set t zad delays transmitting the generated response RTT, after the time t zad guide formed back a response to the sender in case of reception during t 3a d before sending from the sender of the e-mail response team response to completion of the network connection reduces the values of I c and I s on the unit, complete the network connection to the sender of e-mail messages, otherwise, if at time t zad before sending a response response team to complete the network connection from the the sender of e-mail messages did not follow, then send a response response to the sender, receive a command from the sender to start a mail transaction that identifies the sender of e-mail messages, extract the sender's identifiers from the received command, comparing separate identifiers of the sender of messages with reference identifiers from the memory array M, if, according to the comparison results, the allocated identifiers correspond to the reference identifiers of authorized senders of messages from the memory array M, then send a response to the sender of messages about the receipt of the received command and the beginning of the mail transaction, otherwise, if according to the comparison results, the selected identifiers do not correspond to the reference identifiers of authorized senders of messages from the memory array M, then form a response response, set t back the delay time for transmitting the generated response response, after the expiration of time t back, send the generated response response to the sender, if received at time t back before sending a response, commands to terminate the network connection from the sender of e-mail messages decrease the values of I c and I s by one, terminate the network connection with the sender of mail messages, otherwise ae, if at time t zad before sending a response response team to complete the network connection is not followed by the sender's e-mail messages, is sent to the sender back a response is received from the sender communications command indicating the recipients e-mail message, comparing the count value I c the number of connections the sender of messages with I cmax the maximum possible number of connections of the sender of messages, when the condition I c ≥I cmax is satisfied , the values of I c and I s are reduced by one, the network connection with the sender of mail messages is terminated, otherwise, if the condition I c ≥I cmax is not met receive a command indicating the recipients of the e-mail message, extract the message recipient identifiers from the received command, compare the allocated message recipient identifiers with the reference identifiers from the memory array M, if, based on the comparison results, the allocated identifiers correspond to the authorized identifiers recipients of messages from the memory array M, then send a response to the sender of messages about the readiness to continue the mail transaction, otherwise, if, according to the comparison results, the allocated identifiers do not correspond to the reference identifiers of authorized recipients of messages from the memory array M, then form a response response, set t back the delay time for the transmission of the generated response response, after the expiration of time t back , the generated response response is sent to the sender, if received at time t back, before sending the response response, the command to complete the network connection from the sender of e-mail messages is decreased the values of I c and I s by one, complete network connection with the sender of e-mail messages, otherwise, if at time t zad response before sending response teams to complete the network connection from the sender of the e-mail messages are not followed, then sent back to the sender response, take the next command, initiating the transmission of mail data, send the sender of the messages a response response about the readiness to receive the text of the email message, receive the text of the email message, complete the mail transaction by transmitting a response confirming the transaction, decrease the values of I c and I s by one, terminate the network connection with by the sender of mail messages, characterized in that in the preset data, an L memory array is additionally set for storing t generated values of the delay time of intermediate responses to the sender of email messages, where t = 1, 2, ..., T, and T is the total number of generated time values delays of intermediate responses to the sender of messages, V is an array of memory for storing d intermediate responses to the sender of email messages, d = 1, 2 ... R, where R is the total number of intermediate responses that will be sent to the sender of email messages before the reply message,
Figure 00000016
counter of generated intermediate responses stored in the memory array V, J memory array for storing the matrix of correspondence with the d-th intermediate response from the array V t-th generated value of the delay time for sending it to the sender of e-mail messages from the memory array L, P memory array for storing g fragments into which the response response sent to the message sender is divided, where g = 1, 2, ..., G, and G is the total number of formed fragments into which the response response sent to the message sender is divided, Z is a memory array for storing ƒ generated delay time values transmission of response fragments to the sender of e-mail messages, where ƒ = 1, 2, ..., F, a F is the total number of generated values of the delay time for sending response fragments to the sender of e-mail messages, m counter of formed fragments into which the response response is stored in memory array P, H memory array for storage matrices of correspondence to the g-th fragment from the array P сформиров -th generated value of its delay time from the memory array Z, X is the memory array for storing and responding to the sender's commands of messages containing error codes in accordance with the specification of the SMTP protocol, where u = 1 , 2, ... U, a U is the total number of response responses to the sender's commands of messages containing error codes, if after receiving a command identifying the sender, allocating sender identifiers and comparing them with reference ones, the allocated identifiers do not correspond to the reference identifiers of authorized senders of messages from of the memory array M, then R intermediate responses are generated, which will be sent to the sender of e-mail messages before the response response, R intermediate responses are stored in the memory array V, the counter value is set
Figure 00000017
generated intermediate responses stored in the memory array V equal to R, form T values of the delay time of intermediate responses to the message sender, store T values of the delay time of intermediate responses to the message sender in the memory array L, store in the memory array J the correspondence to the d-th intermediate response from the array V t-th generated value of its delay time from the memory array L, read from the memory array J the first of the R generated intermediate responses and from the memory array L the first of the T generated delay time values, send the message sender the first of the R generated intermediate responses through the first of the T generated delay time values, remove the first of the R generated intermediate responses and the first of the T generated delay time values, as well as a record of their correspondence from the memory arrays V, L and J, respectively, decrease the counter value
Figure 00000018
generated intermediate responses stored in the memory array V by one, if after sending an intermediate response, a command to terminate a network connection from the sender of e-mail messages is received, the values of I c and I s are decreased by one, and the network connection with the sender of messages is terminated, otherwise if, after sending an intermediate response, there is no command to end the network connection from the sender of the e-mail messages, then the counter value is read
Figure 00000019
generated intermediate responses, if the counter value
Figure 00000020
which means that not all intermediate responses have been sent to the sender of e-mail messages, then the next (d + l) th of the previously generated R intermediate responses is read, the next (d + l) th of the previously generated R intermediate responses is sent through (t + l) -e value of the delay time to the sender of e-mail messages, and so on until the condition is met
Figure 00000021
meaning that all intermediate responses are sent to the sender after the condition
Figure 00000022
send a response to the sender of e-mail messages, if, after receiving from the sender of messages commands to start a mail transaction, allocating sender identifiers, comparing them with reference identifiers, based on the comparison results, the selected identifiers do not correspond to the reference identifiers of authorized senders of messages from the memory array M, then form G fragments, into which the response response sent to the message sender is divided, G fragments are stored into which the response response sent to the message sender is divided into the memory array P, the counter value m of formed fragments is set into which the response response stored in the memory array is divided P equal to G, F values of the delay time are formed for each of the fragments into which the response response to the sender is divided, F values of the delay time are stored for each of the fragments into which the response response to the sender is divided in the memory array Z, store in the memory array H the correspondence to the g-th fragment from the array P ƒ -th generated value of its delay time from the memory array Z, read from the memory array P the first of G formed fragments of the response response and from the memory array Z the first of F formed values delay time, send the first of the G fragments of the response response to the sender of the messages through the first of the Z generated delay time values, remove the first of the G generated response response fragments and the first of the F generated delay time values, as well as a record of their correspondence from the memory arrays P, Z and H, respectively, decrease the value of the counter m of the generated response response fragments stored in the memory array P by one, in the case of receiving after sending the response response fragment of the command to complete the network connection from the sender of e-mail messages, the values of I c and I s decrease by one, and the network connection with the sender of the messages is completed. If, after sending the next fragment of the response response, there is no command to terminate the network connection from the sender of e-mail messages, then the counter value m of the generated response response fragments is read, if the value of the counter m ≠ 0, which indicates that that not all fragments of the response are sent to the sender of e-mail messages, then the next (g + 1) th of the previously formed G fragments of the response is read, the next (g + 1) th of the previously formed G fragments of the response is sent through ( ƒ + 1) -th value of the delay time to the sender of e-mail messages, and so on until the condition m = 0 is satisfied, which means that all fragments of the response are sent to the sender, if after receiving the command from the sender of the messages, the command identifying the recipients messages, allocation of message recipient identifiers, their comparison with reference identifiers based on the results of the the allocated identifiers do not correspond to the reference identifiers of authorized message recipients from the memory array M, then U response responses to the sender's commands containing error codes are generated in accordance with the SMTP protocol specification, U response responses are stored in the memory array X, read from X u-th a response response containing an error code to a command from the sender of e-mail messages, a response response containing an error code is sent to the sender of e-mail messages, if a second command is not received from the sender of the messages after the waiting timeout for the received response with an error code or a command has been received on the disconnection of the established connection, the values of I c and I s are decreased by one, and the network connection with the message sender is terminated. 2. Способ по п. 1, отличающийся тем, что значение времени задержки для каждого из промежуточных откликов несанкционированному отправителю сообщений электронной почты, перед отправкой ответного отклика получателем, выбирают в пределах от 1 до 10 секунд.2. The method according to claim 1, characterized in that the value of the delay time for each of the intermediate responses to the unauthorized sender of e-mail messages, before sending a response by the recipient, is selected in the range from 1 to 10 seconds. 3. Способ по п. 1, отличающийся тем, что количество промежуточных откликов, направляемых несанкционированному отправителю сообщений электронной почты, перед отправкой ответного отклика получателем, выбирают в пределах от 1000 до 20000.3. The method according to claim 1, characterized in that the number of intermediate responses sent to the unauthorized sender of e-mail messages before sending the response by the recipient is selected in the range from 1000 to 20,000. 4. Способ по п. 1, отличающийся тем, что значение времени задержки для каждого из фрагментов ответного отклика, направляемого несанкционированному отправителю сообщений электронной почты, выбирают в пределах от 1 до 15 секунд.4. The method according to claim 1, characterized in that the delay time value for each of the response fragments sent to the unauthorized sender of e-mail messages is selected in the range from 1 to 15 seconds. 5. Способ по п. 1, отличающийся тем, что величину фрагментов, на которые разбивают ответный отклик несанкционированному отправителю сообщений электронной почты, выбирают в пределах от 1 до 3 байт.5. The method according to claim 1, characterized in that the size of the fragments into which the response response to the unauthorized sender of e-mail messages is split is selected in the range from 1 to 3 bytes. 6. Способ по п. 1, отличающийся тем, что для каждого ложного ответного отклика несанкционированному отправителю сообщений электронной почты значение кода ошибки выбирают случайным образом из стандартных кодов ошибки протокола SMTP.6. The method according to claim 1, characterized in that for each false response to an unauthorized sender of e-mail messages, the error code value is randomly selected from standard SMTP error codes.
RU2020125357A 2020-07-23 2020-07-23 Method for protecting computing networks RU2745004C1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
RU2020125357A RU2745004C1 (en) 2020-07-23 2020-07-23 Method for protecting computing networks

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
RU2020125357A RU2745004C1 (en) 2020-07-23 2020-07-23 Method for protecting computing networks

Publications (1)

Publication Number Publication Date
RU2745004C1 true RU2745004C1 (en) 2021-03-18

Family

ID=74874423

Family Applications (1)

Application Number Title Priority Date Filing Date
RU2020125357A RU2745004C1 (en) 2020-07-23 2020-07-23 Method for protecting computing networks

Country Status (1)

Country Link
RU (1) RU2745004C1 (en)

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20020107928A1 (en) * 2001-01-10 2002-08-08 Denis Chalon Process and apparatus for email handling
US20070220600A1 (en) * 2006-03-17 2007-09-20 Mirosoft Corporation Response Delay Management Using Connection Information
US7539761B1 (en) * 2003-12-19 2009-05-26 Openwave Systems, Inc. System and method for detecting and defeating IP address spoofing in electronic mail messages
US20110258272A1 (en) * 2008-07-03 2011-10-20 Barracuda Networks Inc. Facilitating transmission of an email of a well behaved sender by extracting email parameters and querying a database
RU2472308C1 (en) * 2011-05-19 2013-01-10 Владимир Алексеевич Небольсин Prevention of unauthorised bulk e-mail

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20020107928A1 (en) * 2001-01-10 2002-08-08 Denis Chalon Process and apparatus for email handling
US7539761B1 (en) * 2003-12-19 2009-05-26 Openwave Systems, Inc. System and method for detecting and defeating IP address spoofing in electronic mail messages
US20070220600A1 (en) * 2006-03-17 2007-09-20 Mirosoft Corporation Response Delay Management Using Connection Information
US20110258272A1 (en) * 2008-07-03 2011-10-20 Barracuda Networks Inc. Facilitating transmission of an email of a well behaved sender by extracting email parameters and querying a database
RU2472308C1 (en) * 2011-05-19 2013-01-10 Владимир Алексеевич Небольсин Prevention of unauthorised bulk e-mail

Similar Documents

Publication Publication Date Title
US8601064B1 (en) Techniques for defending an email system against malicious sources
EP2080324B1 (en) Reputation-based method and system for determining a likelihood that a message is undesired
US9100423B2 (en) Systems and methods for detecting and preventing flooding attacks in a network environment
US7600258B2 (en) Methods and systems for detecting and preventing the spread of malware on instant messaging (IM) networks by using fictitious buddies
US8219630B2 (en) System and method for detecting and filtering unsolicited and undesired electronic messages
US7926108B2 (en) SMTP network security processing in a transparent relay in a computer network
US7822818B2 (en) Methods and systems for detecting and preventing the spread of malware on instant messaging (IM) networks by using automated IM users
US7577993B2 (en) Methods and systems for detecting and preventing the spread of malware on instant messaging (IM) networks by using Bayesian filtering
EP2136526A1 (en) Method, device for identifying service flows and method, system for protecting against a denial of service attack
CN110198293B (en) Attack protection method and device for server, storage medium and electronic device
WO2009011807A1 (en) Sender authentication for difficult to classify email
CN109587167B (en) Message processing method and device
JP2009527058A (en) How to verify the intended recipient of an electronic message before delivery, and how to dynamically generate message content upon confirmation
US7823200B2 (en) Methods and systems for detecting and preventing the spread of malware on instant messaging (IM) networks by analyzing message traffic patterns
US8301712B1 (en) System and method for protecting mail servers from mail flood attacks
EP2281371B1 (en) Statistical spam message detection
AU2009299539B2 (en) Electronic communication control
RU2690749C1 (en) Method of protecting computer networks
US20090172176A1 (en) Method and apparatus for filtering electronic messages
JP4659096B2 (en) System and method for preventing unsolicited electronic message delivery by key generation and comparison
RU2745004C1 (en) Method for protecting computing networks
RU2747638C1 (en) Method for protecting computer networks
CN109617893B (en) Method and device for preventing botnet DDoS attack and storage medium
RU2686023C1 (en) Method of protecting computer networks
Zadgaonkar et al. Developing a model to detect e-mail address spoofing using biometrics technique