RU2782704C1 - Способ защиты вычислительных сетей от компьютерных атак, направленных на различные узлы и информационные ресурсы - Google Patents

Способ защиты вычислительных сетей от компьютерных атак, направленных на различные узлы и информационные ресурсы Download PDF

Info

Publication number
RU2782704C1
RU2782704C1 RU2021138373A RU2021138373A RU2782704C1 RU 2782704 C1 RU2782704 C1 RU 2782704C1 RU 2021138373 A RU2021138373 A RU 2021138373A RU 2021138373 A RU2021138373 A RU 2021138373A RU 2782704 C1 RU2782704 C1 RU 2782704C1
Authority
RU
Russia
Prior art keywords
influences
attacking
subject
nodes
information resources
Prior art date
Application number
RU2021138373A
Other languages
English (en)
Inventor
Сергей Юрьевич Карайчев
Владимир Владимирович Бухарин
Александр Сергеевич Никитин
Евгений Дмитриевич Пикалов
Евгений Александрович Васечкин
Александр Александрович Стус
Original Assignee
Федеральное государственное казенное военное образовательное учреждение высшего образования Академия Федеральной службы охраны Российской Федерации
Filing date
Publication date
Application filed by Федеральное государственное казенное военное образовательное учреждение высшего образования Академия Федеральной службы охраны Российской Федерации filed Critical Федеральное государственное казенное военное образовательное учреждение высшего образования Академия Федеральной службы охраны Российской Федерации
Application granted granted Critical
Publication of RU2782704C1 publication Critical patent/RU2782704C1/ru

Links

Images

Abstract

Изобретение относится к области обеспечения безопасности сетей связи и может быть использовано в системах обнаружения атак. Техническим результатом является повышение защищенности вычислительных сетей от компьютерных атак за счет прогнозирования развития воздействий во времени на различные узлы и информационные ресурсы, формирования правил фильтрации для текущей атаки и опережающей передачи их на узлы вычислительной сети в направлении вектора воздействий. Технический результат достигается тем, что после приема очередного пакета сообщений определяют его легитимность, при отсутствии которой получают служебные сообщения от узлов сети, подверженных атакующим воздействиям, по данным из которых формируют прогнозную оценку узлов сети, которые будут подвержены атакующим воздействиям, прогнозную оценку информационных ресурсов, которые будут подвержены атакующим воздействиям, формируют правило фильтрации i-го несанкционированного информационного потока, отправляют сформированные правила фильтрации на определенные выше узлы сети, в том числе имеющие определенные выше информационные ресурсы, блокируют i-й несанкционированный информационный поток и формируют сигналы атаки на соответствующие узлы и информационные ресурсы. 2 ил.

Description

Изобретение относится к области обеспечения безопасности сетей связи и может быть использовано в системах обнаружения компьютерных атак с целью повышения защищенности вычислительных сетей от деструктивных воздействий.
На современном этапе широко используются распределенные вычислительные сети (РВС), в которых информационные ресурсы предоставляются пользователям в режиме реального времени на удаленных узлах управления услугами [Олифер, В. Г. Компьютерные сети. Принципы, технологии, протоколы (5-е издание)./ Олифер, В. Г., Олифер Н. А. // – СПб. : Питер, 2016. 992 с.]. Под информационными ресурсами понимается достаточно широкий спектр как различного рода данных (например, поисково-справочные системы), так и различные сервисы и услуги (например, сетевые инфраструктуры или специализированные приложения и платформы), а РВС строятся в соответствии с архитектурой NGN как территориально распределенная система объединенных коммуникаций. При этом обеспечивается гибкий доступ пользователям к информационным и вычислительным ресурсам, а также высокая степень адаптации к любой физической инфраструктуре. [Олифер, В. Г. Компьютерные сети. Принципы, технологии, протоколы (5-е издание)./ Олифер, В. Г., Олифер Н. А. // – СПб. : Питер, 2016 – 992 с.].
Но одновременно с развитием технических средств, обрабатывающих информацию, совершенствуются методы и средства осуществления внешних деструктивных программных воздействий, оказывающих существенное влияние на функционирование сетей и зачастую носящих случайный характер и трудно поддающихся обнаружению [Kaspersky Security Bulletin 2018. Важные события года. Электронный ресурс: https://securelist.ru/kaspersky-security-bulletin-2018-top-security-stories-2018/
92937/, Статистика. Электронный ресурс: https://securelist.ru/kaspersky-security-bulletin-2018-statistics/92906/].
При этом потенциально доступными являются автоматизированные информационные и информационно-телекоммуникационные сети связи на всей территории России. Осуществление компьютерных атак в отношении информационных технологий и информационных ресурсов Российской Федерации существенно облегчается в связи с тем, что в России главным образом используются средства вычислительной техники, сетевое и телекоммуникационное оборудование, а также программное обеспечение, включая программы средств защиты информации, импортируемые или произведенные по стандартам и лицензиям иностранных фирм [Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных // Москва : ФСТЭК, 2008. – C. 91–101.].
Важно отметить, что в настоящее время возможностей используемых форм и способов обеспечения защиты информационного обмена может оказаться недостаточно для противодействия угрозам информационной безопасности [Гречишников, Е. В. Оценка эффективности деструктивных программных воздействий на сети связи. / Е. В. Гречишников, М. М. Добрышин // Научный сетевой электронный журнал «Системы управления, связи и безопасности» – 2015– № 2 – Санкт-Петербург : ООО «Корпорация «Интел Групп»]. При этом даже при защите информации криптографическими способами нельзя не учитывать возможность воздействия злоумышленника на элементы информационных систем.
Компьютерная атака на РВС реализуется в виде целенаправленного программно-аппаратного воздействия на информационно-телекоммуникационные средства, приводящие к нарушению или снижению эффективности выполнения технологических циклов управления [Карайчев, С. Ю. Модель мультисервисной сети связи в условиях деструктивных программных воздействий. / С. Ю. Карайчев // Научно-технический и производственный журнал «ВКИТ». – 2016 – № 6. – Москва : ООО «Издательский дом «Спектр». – C. 41–49.].
Известен «Способ защиты вычислительных сетей» (патент РФ № 2307392, G06F 21/00, H04L 9/32, опубл. 27.09.2007, бюл. № 27) заключающийся в том, что предварительно задают Р≥1 ложных адресов абонентов вычислительной сети, эталоны идентификаторов типа протоколов взаимодействия, врем задержки отправки пакетов сообщений t зад, а при несовпадении выделенных идентификаторов очередного принятого пакета с идентификаторами ранее запомненного i-го несанкционированного информационного потока (ИП) сравнивают адрес получателя в принятом пакете сообщений с предварительно заданными ложными адресами абонентов вычислительной сети, и при их несовпадении, а так же при выполнении условия для числа его появлений Ki>Kmax, блокируют передачу пакета сообщений и переходят к приему очередного пакета сообщений, а при несовпадении адреса отправителя в принятом пакете сообщений с адресами отправителей опорных идентификаторов санкционированных ИП или совпадении адреса получателя в принятом пакете сообщений с адресами получателей опорных идентификаторов санкционированных ИП, или его совпадении с предварительно заданными ложными адресами абонентов вычислительной сети запоминают идентификатор очередного несанкционированного ИП, увеличивают на единицу число его появлений Кi и в случае невыполнении условия КiКmax, формируют ответный пакет сообщений, соответствующий идентифицируемому протоколу взаимодействия, а затем через заданное время задержки отправки пакетов сообщений t зад снижают скорость передачи сформированного пакета сообщений и передают его отправителю, после чего принимают из канала связи очередной пакет сообщений.
Известен также «Способ защиты вычислительных сетей» (патент РФ № 2475836, G06F 21/00, H04L 9/32, опубл. 20.02.2013, бюл. № 5) заключающийся в том, что предварительно запоминают N≥1 опорных идентификаторов санкционированных ИП, содержащих адреса отправителей и получателей пакетов сообщений, задают Р≥1 ложных адресов абонентов вычислительной сети, задают множество эталонных наборов появлений несанкционированных ИП отличающихся друг от друга идентификаторами S эт={S j }, а так же задают пороговое значение коэффициента совпадения Q совп порог последовательности появлений несанкционированного ИП с соответствующим эталонным набором, после выделения идентификаторов из заголовка очередного принятого пакета сообщений и их сравнения с опорными идентификаторами, при несовпадении адреса получателя в принятом пакете сообщений несанкционированного ИП с заданными ложными адресами абонентов вычислительной сети дополнительно добавляют его в список предварительно заданных ложных адресов абонентов вычислительной сети, затем передают пакет сообщения на заданные ложные адреса абонентов вычислительной сети, сравнивают идентификаторы появления К i принимаемого несанкционированного ИП со значениями имеющимися в эталонных наборах S j появлений несанкционированных ИП, при несовпадении формируют новый S j +1 эталонный набор и запоминают его, после сравнивают значения полученного коэффициента совпадения Q совп с пороговым значением Q совп порог, и при выполнении условия Q совп
Figure 00000001
 Q совп порог блокируют несанкционированный ИП, и формируют сигнал атаки на вычислительную сеть.
Наиболее близким по своей технической сущности к заявленному является «Способ защиты вычислительных сетей с идентификацией нескольких одновременных атак» (патент РФ № 2739206, G06F 21/62, H04L 63/14, опубл. 21.20.2020, бюл. № 36) заключающийся в том, что предварительно запоминают N≥1 опорных идентификаторов санкционированных ИП, содержащих адреса отправителей и получателей пакетов сообщений, задают Р≥1 ложных адресов абонентов вычислительной сети, задают множество эталонных наборов появлений несанкционированных ИП отличающихся идентификаторами S эт={S j }, пороговое значение коэффициента совпадения Q совп порог последовательности появлений несанкционированного ИП с соответствующим эталонным набором, принимают пакет сообщений, определяют легитимность, сравнивая его идентификаторы с опорными, и при их совпадении передают пакет получателю, а при отсутствии совпадения запоминают идентификаторы несанкционированного ИП, присваивают ему i-й идентификационный номер, передают пакет несанкционированного ИП на ложные адреса сети, идентифицируют этот ИП и вычисляют значение коэффициента совпадения, задают множество информационных ресурсов
Figure 00000002
 и после вычисления коэффициента совпадения при невыполнении условия Q совп
Figure 00000001
 Q совп порог определяют ресурс
Figure 00000003
, подверженный воздействиям, присваивают ИП метку M h , уточняют номера S j с метками M h , для чего последующим К i +1 проявлениям сопоставляют метку M h с предыдущим значением С r и при несовпадении С r +1 выбирают новый эталонный набор, соответствующий проявлению К i +1, передают отправителю ответный пакет, а при выполнении условия Q совп
Figure 00000001
 Q совп порог. формируют правило фильтрации i-го несанкционированного ИП, группируют метки M h по совпадению ID n , изменяют правила фильтрации, блокируют i несанкционированный ИП и формируют сигнал атаки на соответствующий ресурс.
Техническая проблема заключается в низкой защищенности вычислительных сетей от компьютерных атак, обусловленной тем, что не учитывается возможность прогнозирования развития воздействий на узлы и различные информационные ресурсы вычислительной сети.
Техническим результатом является повышение защищенности вычислительных сетей от компьютерных атак за счет прогнозирования развития воздействий во времени на различные узлы и информационные ресурсы, формирования правил фильтрации для текущей атаки и опережающей передачи их на узлы вычислительной сети в направлении вектора воздействий.
Техническая проблема решается тем, что в способе защиты вычислительных сетей от компьютерных атак, направленных на различные узлы и информационные ресурсы, заключающимся в том, что предварительно задают N≥1 опорных идентификаторов {ID o} санкционированных ИП, содержащих адреса отправителей и получателей пакетов сообщений, задают множество информационных ресурсов
Figure 00000004
, задают множество эталонных наборов появлений несанкционированных ИП отличающихся друг от друга идентификаторами S эт={S j }, где j – заданное количество эталонных наборов соответствующих определенным типам компьютерных атак, S j ={С l }, где С l – определенная последовательность появлений несанкционированного ИП, отличающихся друг от друга идентификаторами, задают пороговое значение коэффициента совпадения Q совп порог последовательности появлений несанкционированного ИП с соответствующим эталонным набором j. Принимают очередной пакет сообщений и определяют его легитимность, для чего выделяют из его заголовка идентификаторы, которые сравнивают с опорными идентификаторами, и при их совпадении передают легитимный пакет сообщений получателю. После чего принимают очередной пакет сообщений и повторяют совокупность действий по определению его легитимности. При отсутствии совпадения запоминают идентификаторы ID n принятого несанкционированного ИП, присваивают ему очередной i-й идентификационный номер. Затем выделяют идентификаторы появления К i несанкционированного ИП и адрес получателя IP п. После чего вычисляют значение коэффициента совпадения Q совп последовательности появлений несанкционированного ИП с С l эталонного набора S j . Сравнивают значения полученного коэффициента совпадения Q совп с пороговым значением Q совп порог и при невыполнении условия принимают очередной пакет сообщений для дальнейшего определения его легитимности. Дополнительно узлы, подверженные атакующим воздействиям, формируют служебные сообщения содержащие номер атакуемого узла z атак, номер проявления несанкционированного ИП К i ', номер атакуемого информационного ресурса r атак и при выполнении условия Q совп
Figure 00000001
 Q совп порог получают информационные сообщения от узлов сети, подверженных атакующим воздействиям. Далее запоминают информационные сообщения от узлов сети, подверженных атакующим воздействиям. После этого определяют из полученных служебных сообщений номера проявлений несанкционированных ИП К i ' и формируют матрицу T узлов сети, подверженных атакующим воздействиям. На основании этого далее определяют направление развития воздействий методом прогнозной экстраполяции по матрице T. Затем формируют прогнозную оценку узлов сети, которые будут подвержены деструктивным воздействиям. После этого формируют множество узлов сети Z для отправки правил фильтрации. Параллельно с формированием матрицы T вырабатывают матрицу T' информационных ресурсов, подверженных атакующим воздействиям. Затем определяют направление развития воздействий методом прогнозной экстраполяции по матрице T' с учетом типов информационных ресурсов. Далее формируют прогнозную оценку информационных ресурсов r атак, которые будут подвержены деструктивным воздействиям с учетом их типов. После чего формируют множество узлов Z', имеющих информационные ресурсы r атак для отправки новых правил фильтрации. Затем формируют правило фильтрации i-го несанкционированного ИП. Далее отправляют сформированные правила фильтрации на узлы сети Z, подверженные воздействиям и на которые прогнозируются атакующие воздействия. После этого отправляют сформированные правила фильтрации на узлы сети Z' с определенными информационными ресурсами r атак, подверженные воздействиям и на которые прогнозируются атакующие воздействия. Затем блокируют i несанкционированный ИП и формируют сигналы атаки на соответствующие узлы и информационные ресурсы.
Перечисленная новая совокупность существенных признаков обеспечивает повышение защищенности вычислительных сетей от компьютерных атак за счет определения развития дальнейших деструктивных воздействий во времени на различные информационные ресурсы вычислительной сети методами прогнозной экстраполяции
и опережающей рассылки правил фильтрации на узлы сети, подверженные воздействиям и на которые предполагаются атакующие воздействия с учетом типов информационных ресурсов.
Проведенный анализ уровня техники позволил установить, что аналоги, характеризующиеся совокупностями признаков, тождественным всем признакам заявленного способа, отсутствуют. Следовательно, заявленное изобретение соответствует условию патентоспособности «новизна».
Результаты поиска известных решений в данной и смежной областях техники с целью выявления признаков, совпадающих с отличительными от прототипов признаками заявленного изобретения, показали, что они не следуют явным образом из уровня техники. Из определенного заявителем уровня техники не выявлена известность влияния предусматриваемых существенными признаками заявленного изобретения на достижение указанного технического результата. Следовательно, заявленное изобретение соответствует условию патентоспособности «изобретательский уровень».
«Промышленная применимость» способа обусловлена наличием элементной базы, на основе которой могут быть выполнены устройства, реализующие данный способ с достижением указанного в изобретении результата.
Заявленный способ поясняется чертежами, на которых показано:
на фиг. 1 – схема поясняющая структуру рассматриваемой сети;
на фиг. 2 – блок-схема алгоритма способа защиты вычислительных сетей (ВС) от компьютерных атак, направленных на различные узлы и информационные ресурсы.
Реализация заявленного способа поясняется схемой вычислительной сети, показанной на фиг. 1.
Представленная РВС состоит из нескольких сегментов защищаемой ВС 11-1 W , внешней сети связи 2 (фиг. 1). Защищаемая ВС взаимодействует с внешней сетью 2 через маршрутизаторы 4 и включает в себя коммутаторы 5, к которым подключается оконечное оборудование пользователей сегментов ВС
Figure 00000005
 [Олифер, В. Г. Компьютерные сети. Принципы, технологии, протоколы (5-е издание)./ Олифер, В. Г., Олифер Н. А. // – СПб. : Питер, 2016 – 992 с.]. Внешняя сеть 2 представлена совокупностью вычислительных сетей 81–8 Q . Сопряжение с внешней сетью связи сегментов внутренней ВС осуществляется через систему защиты информации (СЗИ) 3, взаимодействующую с базой данных 7 эталонного набора признаков несанкционированных ИП. В качестве СЗИ используется средство межсетевого экранирования [Лапонина О.Р. Межсетевые экраны (2-е изд.) / О. Р. Лапонина // – М.: НОУ «Интуит», 2016. – 465 с.]. Все рассмотренные сетевые элементы характеризуются присвоенными идентификаторами стека протоколов TCP/IP (сетевыми IP-адресами) [Олифер, В. Г. Компьютерные сети. Принципы, технологии, протоколы (5-е издание)./ Олифер, В. Г., Олифер Н. А. // – СПб. : Питер, 2016 – 992 с.].
На фиг. 2 представлена последовательность действий, реализующих способ защиты вычислительных сетей от компьютерных атак, направленных на различные узлы и информационные ресурсы, где приняты следующие обозначения:
N≥1 – база из опорных идентификаторов санкционированных ИП, содержащих адреса отправителей и получателей пакетов сообщений;
ID – идентификатор ИП;
{ID o} – совокупность опорных идентификаторов санкционированных ИП;
ID нс – идентификатор несанкционированного ИП;
{ID нс} – совокупность идентификаторов ранее запомненных несанкционированных ИП;
IP o – адрес отправителя, указанный в идентификаторе принятого пакета сообщений;
{IP oo} – совокупность адресов отправителей, указанных в опорных идентификаторах санкционированных ИП;
IP п – адрес получателя, указанный в идентификаторе принятого пакета сообщений;
{S j } – множество эталонных наборов появлений несанкционированных ИП;
{С l } – определенная последовательность появлений несанкционирован-ных ИП;
Figure 00000006
 – совокупность информационных ресурсов вычислительной сети;
Q   совп порог – пороговое значение коэффициента совпадения.
Изначально задают исходные данные: базу {ID o} из N≥1 опорных идентификаторов санкционированных ИП, содержащих адреса отправителей и получателей пакетов сообщений [Молочков, В. Компьютерные сети. Лекция 2: Сетевые протоколы / Национальный открытый университет «Интуит» [Электронный ресурс]. – 2013. – Режим доступа: http://www.intuit.ru/
studies/courses/3688/930/lecture/20103]; совокупность информационных ресурсов вычислительной сети
Figure 00000007
; множество эталонных наборов появлений несанкционированных ИП S эт={S j }, где j – заданное количество эталонных наборов соответствующих определенным типам компьютерных атак, S j ={С l }, где С l – определенная последовательность появлений несанкционированного информационного потока, отличающихся друг от друга идентификаторами; пороговое значение коэффициента совпадения последовательности появлений несанкционированного ИП Q совп порог (блок 1, фиг. 2).
После чего принимают пакет сообщения (блок 2, фиг. 2) и выделяют идентификаторы отправителя и получателя ID n с помощью СЗИ 3 с целью подтверждения легитимности [Климов С.М., Сычев М.П. и др. Экспериментальная оценка противодействия компьютерным атакам на стендовом полигоне. Электронное учебное издание / – Москва.: ФГБОУ ВО «Московский государственный технический университет им. Н.Э. Баумана», 2013. – 114с.] (фиг. 1) и его принадлежности к санкционированным ИП (блоки 3,4, фиг. 2). В случае если проанализированный пакет считается легитимным, то осуществляется его передача получателю (блок 5, фиг. 2).
Если обнаружено несовпадение соответствующих идентификаторов, то осуществляют их запоминание (блок 6, фиг. 2), присваивают им i-й номер появления (блок 7, фиг. 2), выделяют идентификаторы появления K i и адрес получателя IP п (блок 8, фиг. 2).
Далее сравнивают К i со значениями С l в эталонных наборах S j , запоминают номера S j эталонных наборов, которым принадлежат i-ые проявления и вычисляют значение коэффициента совпадения Q совп последовательности появлений несанкционированного ИП с запомненными эталонными наборами (блок 9, фиг. 2) [Авдошин, С, Савельева, А, Сердюк, В. Академия Microsoft: Технологии и продукты Microsoft в обеспечении информационной безопасности. Лекция 16: Анализ защищенности информационной системы на основе выявления уязвимостей и обнаружения вторжений / Национальный открытый университет «Интуит» [Электронный ресурс]. – 2010. – Режим доступа: http://www.intuit.ru/studies/courses/600/456/
lecture/10220?page=4]. Формирование и использование базы данных эталонного набора появлений несанкционированных ИП в процессе эксплуатации РВС позволяет поддерживать ее в актуальном состоянии, т.е. обеспечить соответствие содержания в любой момент времени реальным данным о состоянии сети без использования дополнительного временного ресурса [Коннолли Т., Бегг К. Базы данных. Проектирование, реализация и сопровождение. М. : Издательский дом «Вильямс» – 2003., с. 242, 725].
Затем значение коэффициента совпадения Q совп, сравнивается с Q совп порог, что позволяет отнести воздействия несанкционированного ИП к определенному j-му типу компьютерной атаки (блок 10, фиг. 2) [Авдошин С., Савельева А., Сердюк В. Академия Microsoft: Технологии и продукты Microsoft в обеспечении информационной безопасности. Лекция 16: Анализ защищенности информационной системы на основе выявления уязвимостей и обнаружения вторжений / Национальный открытый университет «Интуит» [Электронный ресурс]. – 2010. – Режим доступа: http://www.intuit.ru/studies/
courses/600/456/lecture/10220?page=4]. При невыполнении условия Q совп
Figure 00000001
Q совп порог осуществляют переход к блоку 2 и принимают очередной пакет сообщений.
При выполнении условия Q совп
Figure 00000001
Q совп порог принимают служебные сообщения от узлов сети, подверженных атакующим воздействиям, содержащие номер атакуемого узла z атак, номер проявления несанкционированного информационного потока К i ', номер атакуемого информационного ресурса r атак (блок 11, фиг. 2) и запоминают их (блок 12, фиг. 2). После чего определяют из полученных служебных сообщений номера проявлений атакующих воздействий К i ' (блок 13, фиг. 2. Далее формируют матрицу T узлов сети, подверженных атакующим воздействиям (блок 14, фиг. 2). После чего, ввиду случайного характера воздействий [Kaspersky Security Bulletin 2018. Важные события года. Электронный ресурс: https://securelist.ru/kaspersky-security-bulletin-2018-top-security-stories-2018/
92937/, Статистика. Электронный ресурс: https://securelist.ru/kaspersky-security-bulletin-2018-statistics/92906/], определяют направление развития воздействий методом прогнозной экстраполяции по матрице T (блок 15, фиг. 2), например, с использованием скользящих средних [Грешилов, А. А. Математические методы построения прогнозов./ Грешилов А. А., Стакун В. А., Стакун А. А. // – М.: Радио и связь, 1997.- 112 с.]. Затем формируют прогнозную оценку узлов сети, которые будут подвержены деструктивным воздействиям за счет определения направления вектора атаки (блок 16, фиг. 2). При этом, как показано на фиг. 1 прогноз атаки позволит определить узлы ВС находящиеся в направлении поиска (развития) компьютерной атаки злоумышленника. Далее формируют множество узлов сети Z для отправки новых правил фильтрации на узлы в направлении развития воздействий (блок 17, фиг. 2) [Лапонина О.Р. Межсетевые экраны (2-е изд.) / О. Р. Лапонина // – М.: НОУ «Интуит», 2016. – 465 с.].
Вместе с матрицей T узлов сети, подверженных атакующим воздействиям, формируют матрицу ' информационных ресурсов, подверженных атакующим воздействиям (блок 18, фиг. 2). После чего, ввиду случайного характера воздействий [Kaspersky Security Bulletin 2018. Важные события года. Электронный ресурс: https://securelist.ru/kaspersky-security-bulletin-2018-top-security-stories-2018/92937/, Статистика. Электронный ресурс: https://securelist.ru/kaspersky-security-bulletin-2018-statistics/92906/], определяют направление развития воздействий методом прогнозной экстраполяции по матрице ' (блок 19, фиг. 2) с учетом типов атакуемых информационных ресурсов, например, с использованием взвешенных скользящих средних [Грешилов, А. А. Математические методы построения прогнозов./ Грешилов А. А., Стакун В. А., Стакун А. А. // – М.: Радио и связь, 1997.- 112 с.]. Затем формируют прогнозную оценку информационных ресурсов r атак, которые будут подвержены деструктивным воздействиям с учетом их типов (блок 20, фиг. 2). При этом, в отличии от определенного ранее вектора атаки применительно к узлам ВС, в случае информационных ресурсов возможно получение результата в виде очагового формирования узлов подверженных атаки, так как не на всех узлах имеется одно и тоже множество информационных ресурсов. Далее формируют множество узлов Z', имеющих информационные ресурсы r атак для отправки новых правил фильтрации на узлы в направлении развития воздействий (блок 21, фиг. 2) [Лапонина О.Р. Межсетевые экраны (2-е изд.) / О. Р. Лапонина // – М.: НОУ «Интуит», 2016. – 465 с.].
Затем формируют правило фильтрации i-го несанкционированного ИП (блок 22, фиг. 2). Далее отправляют сформированные правила фильтрации на узлы сети Z, подверженные воздействиям и на которые прогнозируются атакующие воздействия (блок 23, фиг. 2) [Лапонина О.Р. Межсетевые экраны (2-е изд.) / О. Р. Лапонина // – М.: НОУ «Интуит», 2016. – 465 с.]. Кроме того, отправляют сформированные правила фильтрации на узлы сети Z' с определенными информационными ресурсами r атак, на которые прогнозируются атакующие воздействия (блок 24, фиг. 2). Затем блокируют i-ый несанкционированный ИП и формируют сигналы атаки на соответствующие узлы и информационные ресурсы (блок 25, фиг. 2).
Достижение технического результата поясняется следующим образом.
При исследовании современных компьютерных атак можно говорить о существенном совпадении начальных фаз различных атакующих воздействий, что может негативно повлиять на правильность выбора реализации компьютерной атаки из эталонных наборов и, следовательно, снизить защищенность вычислительной сети, в связи с тем, что реакция системы информационной безопасности не будет своевременна и адекватна воздействиям, особенно если атаки будут осуществляться совместно [Kaspersky Security Bulletin 2018. Важные события года. Электронный ресурс: https://securelist.ru/kaspersky-security-bulletin-2018-top-security-stories-2018/
92937/, Статистика. Электронный ресурс: https://securelist.ru/kaspersky-security-bulletin-2018-statistics/92906/].
Необходимо отметить, что распространение компьютерных атак в реальных условиях, как правило, имеет сложный и скрытный характер, а обнаружение последующих проявлений зачастую представляет собой достаточно трудоемкую и продолжительную по времени задачу [Kaspersky Security Bulletin 2018. Важные события года. Электронный ресурс: https://securelist.ru/kaspersky-security-bulletin-2018-top-security-stories-2018/
92937/, Статистика. Электронный ресурс: https://securelist.ru/kaspersky-security-bulletin-2018-statistics/92906/]. Однако существуют методы, хорошо подходящие для краткосрочных прогнозов, в частности скользящие средние, которые используются с данными временных рядов для сглаживания краткосрочных колебаний и выделения основных тенденций или циклов, что в полной мере соответствует решаемой задаче [Грешилов, А. А. Математические методы построения прогнозов. / Грешилов А. А., Стакун В. А., Стакун А. А. // – М.: Радио и связь, 1997. – 112 с.].
Предлагаемый способ в отличие от способа-прототипа позволяет повысить защищенность РВС благодаря сокращению времени реакции СЗИ на проявления вторжений за счет задействования сценариев прогнозирования направления развития дальнейших атакующих воздействий [Кириллов В. А., Касимова А. Р., Алёхин А. Д. Система сбора и корреляции событий (SIEM) как ядро системы информационной безопасности. // Казань: Вестник Казанского технологического университета. 2016 год, № 13, стр. 132-134], а с другой стороны, за счет формирования правил фильтрации для текущей атаки и опережающей передачи их в направлении вектора воздействий на узлы и информационные ресурсы РВС.
Время реакции СЗИ вычислительной сети определяется по формуле:
Figure 00000008
где
Figure 00000009
 – время обнаружения воздействий на конкретный ресурс;
Figure 00000010
– время, требующееся на реализацию ответных действий СЗИ.
Если применять известные механизмы обнаружения вторжений, то потребуется дополнительное время обнаружения воздействий на конкретный узел и информационный ресурс, которое в современных условиях может занимать вплоть до нескольких часов и суток. В результате злоумышленник долгое время может оставаться незамеченным и, соответственно, увеличивается время реакции системы безопасности на возникающие инциденты.
Таким образом, заявленный способ защиты вычислительных сетей
от компьютерных атак, направленных на различные узлы и информационные ресурсы, позволяет повысить защищенность вычислительных сетей от компьютерных атак за счет прогнозирования развития воздействий во времени на различные узлы и информационные ресурсы, формирования правил фильтрации для текущей атаки и опережающей передачи их на узлы вычислительной сети в направлении вектора воздействий.

Claims (1)

  1. Способ защиты вычислительных сетей от компьютерных атак, направленных на различные узлы и информационные ресурсы, заключающийся в том, что предварительно задают N≥1 опорных идентификаторов {ID o} санкционированных информационных потоков, содержащих адреса отправителей и получателей пакетов сообщений, задают множество информационных ресурсов
    Figure 00000011
    , задают множество эталонных наборов появлений несанкционированных информационных потоков, отличающихся друг от друга идентификаторами S эт={S j } (где j – заданное количество эталонных наборов, соответствующих определенным типам компьютерных атак), S j ={С l } (где С l – определенная последовательность появлений несанкционированного информационного потока, отличающихся друг от друга идентификаторами), задают пороговое значение коэффициента совпадения Q совп порог последовательности появлений несанкционированного информационного потока с соответствующим эталонным набором j, принимают очередной пакет сообщений и определяют его легитимность, для чего выделяют из его заголовка идентификаторы, которые сравнивают с опорными идентификаторами, и при их совпадении передают легитимный пакет сообщений получателю, после чего принимают очередной пакет сообщений и повторяют совокупность действий по определению его легитимности, а при отсутствии совпадения запоминают идентификаторы ID n принятого несанкционированного информационного потока, присваивают ему очередной i-й идентификационный номер, выделяют идентификаторы появления К i несанкционированного информационного потока и адрес получателя IP п, затем сравнивают идентификаторы появления К i с С l эталонного набора S j , которым принадлежат i-е появления, и вычисляют значение коэффициента совпадения Q совп, сравнивают значения полученного коэффициента совпадения Q совп с пороговым значением Q совп порог и при невыполнении условия принимают очередной пакет сообщений для дальнейшего определения его легитимности, отличающийся тем, что дополнительно узлы, подверженные атакующим воздействиям, формируют служебные сообщения, содержащие номер атакуемого узла z атак, номер проявления несанкционированного информационного потока К i ', номер атакуемого информационного ресурса r атак, и при выполнении условия Q совп
    Figure 00000012
     Q совп порог получают служебные сообщения от узлов сети, подверженных атакующим воздействиям, далее запоминают служебные сообщения от узлов сети, подверженных атакующим воздействиям, затем определяют из полученных служебных сообщений номера проявлений несанкционированных информационных потоков К i ' и формируют матрицу T узлов сети, подверженных атакующим воздействиям, после чего определяют направление развития воздействий методом прогнозной экстраполяции по матрице T и формируют прогнозную оценку узлов сети, которые будут подвержены атакующим воздействиям, а затем формируют множество узлов сети Z, которым будут отправлены новые правила фильтрации, кроме того формируют матрицу T' информационных ресурсов, подверженных атакующим воздействиям, затем определяют направление развития воздействий методом прогнозной экстраполяции по матрице T' с учетом типов информационных ресурсов и формируют прогнозную оценку информационных ресурсов r атак, которые будут подвержены атакующим воздействиям, после чего формируют множество узлов Z', имеющих информационные ресурсы r атак, для отправки новых правил фильтрации, затем формируют правило фильтрации i-го несанкционированного информационного потока, после этого отправляют сформированные правила фильтрации на узлы сети из множества Z, подверженные воздействиям и на которые прогнозируются атакующие воздействия, а также отправляют сформированные правила фильтрации на узлы сети из множества Z' с определенными информационными ресурсами r атак, подверженные воздействиям и на которые прогнозируются атакующие воздействия, после чего блокируют i-й несанкционированный информационный поток и формируют сигналы атаки на соответствующие узлы и информационные ресурсы.
RU2021138373A 2021-12-23 Способ защиты вычислительных сетей от компьютерных атак, направленных на различные узлы и информационные ресурсы RU2782704C1 (ru)

Publications (1)

Publication Number Publication Date
RU2782704C1 true RU2782704C1 (ru) 2022-11-01

Family

ID=

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2307392C1 (ru) * 2006-05-02 2007-09-27 Военная академия связи Способ (варианты) защиты вычислительных сетей
RU2475836C1 (ru) * 2012-03-12 2013-02-20 Федеральное государственное военное образовательное учреждение высшего профессионального образования "Военная академия связи имени маршала Советского Союза С.М. Буденного" Министерства обороны Российской Федерации Способ защиты вычислительных сетей
US9075992B2 (en) * 2012-05-01 2015-07-07 Harris Corporation Systems and methods for identifying, deterring and/or delaying attacks to a network using shadow networking techniques
RU2583703C2 (ru) * 2010-05-20 2016-05-10 Эксенчер Глоубл Сервисиз Лимитед Обнаружение и анализ злоумышленной атаки
RU2662406C2 (ru) * 2014-03-19 2018-07-25 Квэлкомм Инкорпорейтед Предотвращение атаки повторного воспроизведения при обнаружении связи устройство-устройство долгосрочного развития
RU2739206C1 (ru) * 2019-12-26 2020-12-21 Федеральное государственное казенное военное образовательное учреждение высшего образования Академия Федеральной службы охраны Российской Федерации Способ защиты вычислительных сетей с идентификацией нескольких одновременных атак

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2307392C1 (ru) * 2006-05-02 2007-09-27 Военная академия связи Способ (варианты) защиты вычислительных сетей
RU2583703C2 (ru) * 2010-05-20 2016-05-10 Эксенчер Глоубл Сервисиз Лимитед Обнаружение и анализ злоумышленной атаки
RU2475836C1 (ru) * 2012-03-12 2013-02-20 Федеральное государственное военное образовательное учреждение высшего профессионального образования "Военная академия связи имени маршала Советского Союза С.М. Буденного" Министерства обороны Российской Федерации Способ защиты вычислительных сетей
US9075992B2 (en) * 2012-05-01 2015-07-07 Harris Corporation Systems and methods for identifying, deterring and/or delaying attacks to a network using shadow networking techniques
RU2662406C2 (ru) * 2014-03-19 2018-07-25 Квэлкомм Инкорпорейтед Предотвращение атаки повторного воспроизведения при обнаружении связи устройство-устройство долгосрочного развития
RU2739206C1 (ru) * 2019-12-26 2020-12-21 Федеральное государственное казенное военное образовательное учреждение высшего образования Академия Федеральной службы охраны Российской Федерации Способ защиты вычислительных сетей с идентификацией нескольких одновременных атак

Similar Documents

Publication Publication Date Title
Nezhad et al. A novel DoS and DDoS attacks detection algorithm using ARIMA time series model and chaotic system in computer networks
Karthick et al. Adaptive network intrusion detection system using a hybrid approach
CN111181901B (zh) 异常流量检测装置及其异常流量检测方法
Sofi et al. Machine learning techniques used for the detection and analysis of modern types of ddos attacks
Manavi Defense mechanisms against distributed denial of service attacks: A survey
Savchenko et al. Detection of slow DDoS attacks based on user’s behavior forecasting
EP3427437A1 (en) Ddos defence in a packet-switched network
RU2475836C1 (ru) Способ защиты вычислительных сетей
Cheng et al. DDoS attack detection using IP address feature interaction
RU2782704C1 (ru) Способ защиты вычислительных сетей от компьютерных атак, направленных на различные узлы и информационные ресурсы
Melo et al. A novel immune detection approach enhanced by attack graph based correlation
US8284764B1 (en) VoIP traffic behavior profiling method
Kang et al. Accurately Identifying New QoS Violation Driven by High‐Distributed Low‐Rate Denial of Service Attacks Based on Multiple Observed Features
RU2674802C1 (ru) Способ защиты вычислительных сетей
Lee et al. DDoS attacks detection using GA based optimized traffic matrix
Nicheporuk et al. A System for Detecting Anomalies and Identifying Smart Home Devices Using Collective Communication.
Dinh et al. Economic Denial of Sustainability (EDoS) detection using GANs in SDN-based cloud
Mathew et al. Genetic algorithm based layered detection and defense of HTTP botnet
Limkar et al. An effective defence mechanism for detection of DDoS attack on application layer based on hidden Markov model
Ramprasath et al. Virtual Guard Against DDoS Attack for IoT Network Using Supervised Learning Method
Honda et al. Detection of novel-type brute force attacks used ephemeral springboard ips as camouflage
Hamdani et al. Detection of DDOS attacks in cloud computing environment
Pavloski Detecting and mitigating storm attacks in mobile access to the cloud
RU2715165C1 (ru) Способ защиты вычислительных сетей на основе адаптивного взаимодействия
RU2814463C1 (ru) Способ защиты вычислительных сетей на основе легендирования