RU2782711C1 - Система обнаружения компьютерных атак с адаптивным изменением комплексных правил - Google Patents
Система обнаружения компьютерных атак с адаптивным изменением комплексных правил Download PDFInfo
- Publication number
- RU2782711C1 RU2782711C1 RU2021138379A RU2021138379A RU2782711C1 RU 2782711 C1 RU2782711 C1 RU 2782711C1 RU 2021138379 A RU2021138379 A RU 2021138379A RU 2021138379 A RU2021138379 A RU 2021138379A RU 2782711 C1 RU2782711 C1 RU 2782711C1
- Authority
- RU
- Russia
- Prior art keywords
- block
- input
- output
- signatures
- monitoring system
- Prior art date
Links
- 238000001514 detection method Methods 0.000 title claims description 13
- 230000003044 adaptive Effects 0.000 title claims description 11
- 230000015572 biosynthetic process Effects 0.000 claims abstract description 12
- 238000004364 calculation method Methods 0.000 claims description 11
- 238000003786 synthesis reaction Methods 0.000 claims description 6
- 230000002194 synthesizing Effects 0.000 claims description 6
- 230000001276 controlling effect Effects 0.000 claims description 5
- 238000004891 communication Methods 0.000 abstract description 15
- 238000005755 formation reaction Methods 0.000 abstract description 6
- 230000000694 effects Effects 0.000 abstract description 5
- 238000005516 engineering process Methods 0.000 abstract description 5
- 238000009825 accumulation Methods 0.000 abstract description 4
- 230000001934 delay Effects 0.000 abstract description 2
- 230000002265 prevention Effects 0.000 abstract 1
- 239000000126 substance Substances 0.000 abstract 1
- 238000011156 evaluation Methods 0.000 description 3
- 230000003213 activating Effects 0.000 description 2
- 238000004458 analytical method Methods 0.000 description 2
- 238000004590 computer program Methods 0.000 description 2
- 238000001914 filtration Methods 0.000 description 2
- 238000004519 manufacturing process Methods 0.000 description 2
- 241000907506 Israel turkey meningoencephalomyelitis virus Species 0.000 description 1
- 230000004913 activation Effects 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 230000000875 corresponding Effects 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 230000035515 penetration Effects 0.000 description 1
- 238000010200 validation analysis Methods 0.000 description 1
Images
Abstract
Изобретение относится к области информационных технологий, в частности к информационной безопасности, а именно к средствам мониторинга информационной безопасности и обеспечивает контроль трафика и предотвращение компьютерных атак. Технический результат заключается в снижении времени проверки системой мониторинга проверяемых пакетов потока данных. Технический результат достигается за счет ввода устройства формирования комплексных правил, состоящего из блока определения пути пакета, блока упорядочивания примененных сигнатур, блока формирования комплексного правила проверки, блока сохранения в базу комплексных сигнатур, обеспечивается формирование комплексных правил, уменьшающее количество операций по поиску сигнатур, приводит к снижению времени проверки системой мониторинга проверяемых пакетов потока данных, что обеспечивает недопущение появления и накапливания задержки потока данных, что обеспечивает требуемое качество связи. 1 ил.
Description
Изобретение относится к области информационных технологий, а именно
к системам и средствам обеспечения информационной безопасности.
к системам и средствам обеспечения информационной безопасности.
Под информационно-техническими воздействиями (ИТВ) понимаются методы радиоэлектронной борьбы, проникновение в компьютерные сети и т.п. (Базовые принципы информационной безопасности вычислительных сетей: учебное пособие для студентов, обучающихся по специальностям 08050565, 21040665, 22050165, 23040165 / А.А. Гладких, В.Е. Дементьев; - Ульяновск: УлГТУ, 2009. - С. 135).
Сетевой трафик – объём информации, передаваемой через компьютерную сеть за определенный период времени посредствам IP-пакетов. (А. Винокуров Принципы организации учёта IP-трафика. Электронный ресурс. Режим доступа: http://habrahabr.ru/post/136844).
Известна «Система и способ обнаружения признаков компьютерной атаки» (патент РФ № 2661533 G06F 21/55, 17.07.2018 Бюл. № 20) содержащая: средство защиты компьютера, средство защиты от направленных атак, сервер репутации, сеть администратора; аналитический центр, средство обнаружения, базу данных угроз, базу данных объектов, базу данных подозрительной активности, базу данных компьютерных атак.
Известен «Способ использования вариантов противодействия сетевой и потоковой компьютерным разведкам и сетевым атакам и система его реализующая» (патент РФ № 2682108, G06F 21/60, H04B 17/00 опубл. 14.03.2019 г. Бюл. № 8). Указанная система включает устройство визуализации соединенное с устройством управления обработкой данных и устройством управления базами данных; устройство ввода-вывода исходных данных соединенного с устройством управления базами данных; устройство обработки данных включающее устройство управления обработкой данных соединенное с устройством ранжирования проблем развития и устройством сравнения параметров сети связи соединенного с устройством управлением обработки данных и устройством синтеза виртуального рабочего варианта системы соединенным с устройством выбора оптимального варианта решения; устройство хранения данных, включающее в себя устройство управления базами данных, соединенное с устройством управления обработкой данных и базой данных примеров решения проблем, базой данных типов проблем и математических моделей, базой данных параметров уравнения развития, базой данных общематематических методов решения проблем, дополнительно в устройство обработки данных введено устройство моделирования (прогнозирования) состояния узлов сети связи состоящее из блока прогнозирования параметров сетевых атак соединенного с устройством ранжирования проблем развития; устройством сравнения параметров сети связи и блоком прогнозирования состояния узлов сети связи в условиях сетевой атаки соединенного с устройством сравнения параметров сети связи и блоком оптимизации контролируемых параметров соединенного с устройством сравнения параметров сети связи и блоком моделирования совместного применения способов и вариантов противодействия соединенное с устройством сравнения параметров сети связи, введено устройство управления распределенной системой мониторинга состоящей из группы датчиков распределенной системой мониторинга принимающих информационные потоки характеризующие техническое состояние узлов сети связи и сетевой атаки и соединенных с блок управления распределенной системой мониторинга, соединенным с устройством визуализации, устройством управления базами данных и блоком идентификации и классификации сетевых атак, введено устройство управления способами и вариантами противодействия сетевой атаки состоящей из группы блоков активации способов противодействия сетевой атаки, соединенных со способами противодействия сетевой атаки и блоком управления активацией способов и вариантов противодействия соединенным с блоком управления распределенной системой мониторинга и устройством выбора оптимального варианта решения.
Наиболее близким по технической сущности и выполняемым функциям аналогом (прототипом) к заявленному является «Адаптивная система мониторинга информационно-технических воздействий» (патент РФ № 2728763, G06F 21/50, H04L 63/1408, H04L 63/1416, H04L 63/1425 опубл. 31.07.2020 г. Бюл. № 22). Указанная адаптивная система мониторинга ИТВ состоит из: анализатора сетевого трафика, устройства управления функционированием системы мониторинга, блока ввода нормированных значений параметров быстродействия системы и сигнатур компьютерных атак, базы данных нормированных значений параметров быстродействия системы, сигнатур компьютерных атак и порогового значения коэффициента корреляции, блока визуализации, устройства обработки данных и управления системы мониторинга, блока оценки параметров системы мониторинга, блока синтеза и конфигурации системы обнаружения атак, устройства обнаружения компьютерных атак, блока коммутации сигнатур, блока идентификации и классификации атак, устройства коммутации и согласования, устройства промежуточных расчетов, блока расчета параметров быстродействия системы мониторинга, блока расчета коэффициентов корреляции значений параметров входящего и исходящего информационных потоков, блока сокращения сигнатур, блока ручного управления, блока выбора дополнительных сигнатур, блока сигнатур.
Техническая проблема: ухудшение качества связи, вызванное накапливанием задержки потока данных, из-за увеличения времени обработки пакетов данных системой мониторинга из-за большого количества операций по поиску сигнатур.
Решение технической проблемы: повышение качества связи, за счет недопущения накапливания задержки потока данных, за счет уменьшения количества операций по поиску сигнатур системой мониторинга, объединения сигнатур в комплексные правила, формируемые на основании пути прохождения пакета данных через систему мониторинга.
Технический результат: за счет ввода устройства формирования комплексных правил, состоящего из блока определения пути пакета, блока упорядочивания примененных сигнатур, блока формирования комплексного правила проверки, блока сохранения в базу комплексных сигнатур обеспечивается формирование и применение комплексных правил, уменьшающих количество операций по поиску сигнатур, что приводит к снижению времени проверки системой мониторинга проверяемых пакетов потока данных, что обеспечивает недопущение появления и накапливания задержки потока данных, что обеспечивает требуемое качество связи.
Техническая проблема решается за счет разработки системы обнаружения компьютерных атак, с адаптивным изменением комплексных правил состоящей из анализатора сетевого трафика [программный комплекс СКАТ DPI. ITGLOBAL.COM], выход, которого соединен с первым входом устройства коммутации и согласования [Коммутационное оборудование и его особенности / http://www.aitek-d.ru/ articles9851.html]; устройства управления функционированием системы мониторинга состоящего из блока ввода нормированных значений и сигнатур [классификация устройств ввода информации / https://spravochnick.ru /informatika/arhitektura_personalnogo kompyutera/ ustroystva_vvoda_ informacii/], второй выход соединен с первым входом блока сигнатур [напр. OpenSource Emerging Threats], первый выход соединен с входом базы данных [напр. Microsoft – SQL Server], второй выход которой соединен с вторым входом блока сокращения сигнатур [Работа с правилами. Аппаратно-программный комплекс шифрования Континент Версия 3.7 / https://www.securitycode.ru/upload/documentation/ detektor_atak/IDS_Admin_Guide.pdf], первый выход соединен с вторым входом блока оценки параметров системы мониторинга, третий выход базы данных соединен с четвертым входом блока визуализации [формирование изображения и графической информации с помощью мониторов компьютера], выход блока визуализации соединен со вторым входом блока ручного управления [классификация устройств ввода информации / https://spravochnick.ru/informatika/arhitektura_personalnogo_kompyutera/ustroystva_vvoda_ informacii/], первый выход блока ручного управления соединен со вторым входом устройства коммутации и согласования; второй выход блока ручного управления соединен с первым входом блока выбора дополнительных сигнатур [Работа с правилами. Аппаратно-программный комплекс шифрования Континент Версия 3.7 / https://www.securitycode.ru/upload/ documentation/ detektor_atak/IDS_Admin_Guide.pdf]; устройства обработки данных и управления системы мониторинга состоящего из блока оценки параметров системы мониторинга [Система обнаружения атак «ФОРПОСТ» версии 2.0 / https://www.rnt.ru/ru/production/detail.php?ID=19], первый выход которого соединен со вторым входом блока расчета коэффициентов корреляции, второй выход соединен с первым входом блока визуализации, третий выход соединен с блоком синтеза и конфигурации системы обнаружения атак [Система обнаружения атак «ФОРПОСТ» версии 2.0 / https://www.rnt.ru/ru/production/detail.php?ID=19], выход которого соединен с блоком коммутации сигнатур, блок выбора дополнительных сигнатур, выход соединен с третьим входом блока визуализации; устройства обнаружения компьютерных атак состоящего из блока коммутации сигнатур [Инициализация и подключение детектора атак. Аппаратно-программный комплекс шифрования Континент Версия 3.7 / https://www.securitycode.ru/upload/ documentation / detektor_atak/IDS_Admin_Guide.pdf], первый выход которого соединен с вторым входом блока сигнатур, второй выход с первым входом блока ручного управления; блока сигнатур второй выход которого соединен с вторым входом блока выбора дополнительных сигнатур; блока идентификации и классификации атак [Работа с правилами. Аппаратно-программный комплекс шифрования Континент Версия 3.7 / https://www.securitycode.ru/upload/documentation/ detektor_ atak/IDS_Admin_Guide.pdf], первый выход которого соединен со вторым входом блока визуализации, второй выход соединен с третьим входом блока ручного управления; устройства коммутации и согласования, первый выход устройства коммутации и согласования соединен с устройством промежуточных расчетов, а именно с первым входом блока расчета параметров быстродействия системы мониторинга [Добрышин М.М. и др. Программа расчета быстродействия системы мониторинга технического состояния средств связи / Свидетельство о государственной регистрации программы для ЭВМ № 2018618661 от 17.07.2018 г. Бюл. № 7.] и первым входом блока расчета коэффициентов корреляции [Добрышин М.М. и др. Расчет корреляционных связей между значениями параметров технического состояния средств связи / Свидетельство о государственной регистрации программы для ЭВМ № 2018615232 от 03.05.2018 г. бюл. № 5], второй выход соединен с первым входом блока идентификации и классификации атак; устройства промежуточных расчетов, состоящего из блока расчета параметров быстродействия системы мониторинга, выход которого соединен с первым входом блока оценки параметров системы мониторинга; блока расчета коэффициентов корреляции, выход блока соединен с первым входом блока сокращения сигнатур; выход блока сокращения сигнатур соединен со вторым входом блока расчета параметров быстродействия системы мониторинга.
Дополнительно введено устройство формирования комплексных правил, состоящего из блока определения пути пакета [https://rtfm.co.ua/ipfw-poryadok-proxozhdeniya-paketov-slozhnye-sluchai/], на первый вход которого поступают данные с третьего выхода блока устройства коммутации и согласования, на второй вход поступают данные с первого выхода блока сигнатур, выход блока определения путей пакета соединен со входом блока упорядочивания примененных сигнатур [Writing Snort rules, http://manual-snort-org.s3-website-us-east-1.amazonaws.com/node27.html], выход, которого соединен с входом блока формирования комплексного правила проверки. Выход блока формирования комплексного правила проверки соединен с входом блока сохранения в базу комплексных сигнатур, первый выход блока сохранения комплексных правил соединен с пятым входом блока визуализации, второй выход соединен с вторым входом блока идентификации и классификации атак.
Перечисленная новая совокупность существенных признаков обеспечивает снижение времени проверки системой мониторинга проверяемых пакетов потока данных до значений, не превышающих времени поступления очередного пакета.
Проведенный анализ уровня техники позволил установить, что аналоги, характеризующиеся совокупностями признаков, тождественным всем признакам заявленной системы, отсутствуют. Следовательно, заявленное изобретение соответствует условию патентоспособности "новизна".
«Промышленная применимость» разработанной адаптивной системы обусловлена наличием элементной базы, на основе которой могут быть выполнены устройства, реализующие данную систему с достижением указанного в изобретении результата.
Результаты поиска известных решений в данной и смежной областях техники с целью выявления признаков, совпадающих с отличительными от прототипов признаками заявленного изобретения, показали, что они не следуют явным образом из уровня техники. Из определенного заявителем уровня техники не выявлена известность влияния предусматриваемых существенными признаками заявленного изобретения на достижение указанного технического результата. Следовательно, заявленное изобретение соответствует условию патентоспособности «изобретательский уровень».
Заявленные объекты системы поясняются:
Фиг.1 – структурная схема системы обнаружения компьютерных атак
с адаптивным изменением комплексных правил.
с адаптивным изменением комплексных правил.
Состав системы обнаружения компьютерных атак, с адаптивным изменением комплексных правил: анализатора сетевого трафика, выход которого соединен с первым входом устройства коммутации и согласования; устройства управления функционированием системы мониторинга состоящего из блока ввода нормированных значений и сигнатур, второй выход соединен с первым входом блока сигнатур, первый выход соединен с входом базы данных, второй выход которой соединен с вторым входом блока сокращения сигнатур, первый выход соединен с вторым входом блока оценки параметров системы мониторинга, третий выход базы данных соединен с четвертым входом блока визуализации, выход блока визуализации соединен со вторым входом блока ручного управления, первый выход блока ручного управления соединен со вторым входом устройства коммутации и согласования; второй выход блока ручного управления соединен с первым входом блока выбора дополнительных сигнатур; устройства обработки данных и управления системы мониторинга состоящего из блока оценки параметров системы мониторинга, первый выход которого соединен со вторым входом блока расчета коэффициентов корреляции, второй выход соединен с первым входом блока визуализации, третий выход соединен с блоком синтеза и конфигурации системы обнаружения атак, выход которого соединен с блоком коммутации сигнатур, блок выбора дополнительных сигнатур, выход соединен с третьим входом блока визуализации; устройства обнаружения компьютерных атак состоящего из блока коммутации сигнатур, первый выход которого соединен с вторым входом блока сигнатур, второй выход с первым входом блока ручного управления; блока сигнатур второй выход которого соединен с вторым входом блока выбора дополнительных сигнатур; блока идентификации и классификации атак, первый выход которого соединен со вторым входом блока визуализации, второй выход соединен с третьим входом блока ручного управления; устройства коммутации и согласования, первый выход устройства коммутации и согласования соединен с устройством промежуточных расчетов, а именно с первым входом блока расчета параметров быстродействия системы мониторинга и первым входом блока расчета коэффициентов корреляции, второй выход соединен с первым входом блока идентификации и классификации атак; устройства промежуточных расчетов, состоящего из блока расчета параметров быстродействия системы мониторинга, выход которого соединен с первым входом блока оценки параметров системы мониторинга; блока расчета коэффициентов корреляции, выход блока соединен с входом блока сокращения сигнатур; выход блока сокращения сигнатур соединен со вторым входом блока расчета параметров быстродействия системы мониторинга; устройство формирования комплексных правил, состоящее из блока определения пути пакета, на первый вход которого поступают данные с третьего выхода блока устройства коммутации и согласования, на второй вход поступают данные с первого выхода блока сигнатур, выход блока определения путей пакета соединен со входом блока упорядочивания примененных сигнатур, выход которого соединен со входом блока формирования комплексного правила проверки, выход блока формирования комплексного правила проверки соединен со входом блока сохранения в базу комплексных сигнатур, первый выход блока сохранения комплексных правил соединен с пятым входом блока визуализации, второй выход соединен с вторым входом блока идентификации и классификации атак.
Система обнаружения компьютерных атак с адаптивным изменением комплексных правил (фиг.1) на подготовительном этапе функционирует следующим образом: с помощью блока ввода нормированных значений и сигнатур (блок 3.4), устройства управления функционированием системы мониторинга (блок 3), оператор вводит нормированные значения параметров, которые сохраняются в базе данных (блок 3.3) и через 3 выход блока 3.3 поступают в блок 3.2, оператор вводит сигнатуры, характеризующие различные компьютерные атаки, которые сохраняются в блоке сигнатур (блок 6.2), устройства обнаружения компьютерных атак (блок 6).
На входы анализатора сетевого трафика (блок 1) поступает входящий и исходящий информационные потоки защищаемого узла связи.
В блоке 1 выделяются статистические значения анализируемого информационного потока и поступают на выход блока 1 соединенного с первым входом устройства коммутации и согласования (блок 2). На второй вход блока 2 поступает управляющий сигнал из блока ручного управления (блок 3.1), устройства управления функционированием системы мониторинга (блок 3) о направлении выделенных статистических значений или в блок расчета параметров быстродействия системы мониторинга (блок 4.1), устройства промежуточных расчетов (блок 4) или в блок определения путей (блок 7.1).
Если из блока 3.1 поступил сигнал «настройки системы мониторинга», то с первого выхода блока 2 статистические значения анализируемого информационного потока поступают на первый вход блока 4.1, где рассчитываются значения параметров быстродействия системы мониторинга.
С выхода блока 4.1 значения параметров быстродействия системы мониторинга поступают на первый вход блока оценки параметров системы мониторинга (блок 5.1), устройства обработки данных и управления системой мониторинга (блок 5).
На второй вход блока 5.1 из 1 выхода блока 3.3 поступает нормированное значение быстродействия системы мониторинга. В блоке 5.1 поступившие на первый и второй входы значения быстродействия системы сравниваются. Если значение быстродействия на первом входе меньше аналогичного значения на втором входе, блок 5.1 с первого выхода передается управляющая команда в блок расчета коэффициентов корреляции (блок 4.3).
На первый вход блока 4.3 с выхода блока 2 поступают статистические значения входящего и исходящего информационных потоков. Если на второй вход блока 4.3 поступает управляющий сигнал из блока 5.1, то рассчитывают значения коэффициентов корреляции между всеми принятыми статистическими значениями параметров входящего и исходящего информационных потоков.
С выхода блока 4.3 на первый вход блока сокращения сигнатур (блок 4.2) передаются рассчитанные значения коэффициентов корреляции. В блоке 4.2 на основании заданного порогового значения коэффициента корреляции (поступающего на второй вход блока 4.2 из 2 выхода блока 3.3) выделяют и сокращают сигнатуры соответствующих компьютерных атак. При выборе сокращаемых сигнатур оставляют сигнатуры нижележащего уровня эталонной модели взаимодействия открытых систем. После сокращения сигнатур, подсчитывают количество оставшихся сигнатур.
С выхода блока 4.2 на второй вход блока 4.1 поступают значения количества сокращенного перечня сигнатур. В блоке 4.1 рассчитывают быстродействие системы мониторинга с учетом сокращенного количества сигнатур. С выхода блока 4.1 значения быстродействия системы мониторинга поступают на вход блока 5.1.
Если повторно значения на первом входе блока 5.1 меньше чем значения на втором входе блока 5.1, на втором выходе блока 5.1 формируется команда о необходимости уменьшения порогового значения коэффициента корреляции и передается на первый вход блока визуализации (блок 3.2).
На основании полученной в блоке 3.2 команды о необходимости уменьшения порогового значения коэффициента корреляции, оператор уменьшает указанное значение путем внесения изменений с помощью блока 3.4.
Действия в блоках 4.1-5.1-4.3-4.2 продолжаются до тех пор, пока не будет выполнено условие в блоке 5.1.
Если условие в блоке 5.1 выполнено, то с третьего выхода блока 5.1 передаются номера сигнатур, которые необходимо использовать при функционировании системы мониторинга на первый вход блока синтеза и конфигурации системы мониторинга (блок 5.2).
В блоке 5.2 формируются управляющие команды необходимые для подключения указанных сигнатур определения компьютерных атак. С первого выхода блока 5.2 команда на подключения требуемых сигнатур передается на первый вход блока коммутации сигнатур (блок 6.1).
С первого выхода блока 6.1 на входы блоков сигнатур (блок 6.2) передаются управляющие команды на коммутацию сигнатур со вторым входом блока определения путей (блок 7.1).
После коммутации первого выхода блока сигнатур (блок 6.2) с блоком 7.1, со второго выхода блока 6.1 на первый вход блока ручного управления (блок 3.1) поступает сообщение о начале формирования комплексных сигнатур.
После поступления на вход блока 3.1 сообщения о начале формирования комплексных сигнатур, оператор принимает решение о переключении входящих и исходящих информационных потоков с первого входа блока 4.1 на первый вход блока 7.1.
С первого выхода блока 3.1 на второй вход блока 2 передается команда о переключении входящих и исходящих информационных потоков с первого входа блока 4.1 на первый вход блока 7.1.
В блоке 7.1 входящий информационный поток разбивается на отдельные пакеты, для каждого из которых ведется поиск всех возможных вариантов и комбинаций применения правил фильтрации и поиска вредоносного содержимого (https://rtfm.co.ua/ipfw-poryadok-proxozhdeniya-paketov-slozhnye-sluchai/). Для каждого возможного варианта сопоставляются сигнатуры из блока 6.2 (https://www.kaspersky.ru/blog/signature-virus-desinfection/13346/), поступающие на второй вход блока 7.1. Список всех поэтапно применённых сигнатур передается в блок 7.2.
После чего, в блоке 7.2 производится поиск повторяющихся путей по уже известным комплексным правилам. Количество пакетов с различными значениями полей обширно, однако многие из них имеют одинаковые пути, количество которых конечно. Таким образом, различные пакеты с одинаковыми путями фильтрации можно отнести к одному комплексному правилу, оптимизировав тем самым количество комплексных правил. Если повторяющийся путь пакета не найден, то данные передаются в блок 7.3. Если же найден повторяющийся путь, то данные передаются в блок 7.3 вместе с номером правила сформированного раньше, в котором уже отражен этот путь.
В блоке 7.3 новый путь пакета совместно со списком применяемых сигнатур образует новое комплексное правило, которому присваивают индекс по порядку и сохраняют в блоке 7.4 в базу комплексных сигнатур. Если же в блоке 7.2 найден повторяющийся путь, описанный в уже существующем комплексном правиле, то в блоке 7.3 в известное правило вносят данные о новом пакете, путь которого повторяется в данном правиле. Затем сохраняют в блоке 7.4
При отсутствии поступления новых правил в блок 7.4, на пятый вход блока 3.2 передается сообщение об окончании формирования комплексных правил, после чего оператор в блоке 3.1 принимает решение о переключении входящего потока на первый вход блока 6.3.
На этапе функционирования система обнаружения компьютерных атак с адаптивным изменением комплексных правил функционирует следующим образом.
При поступлении на первый вход блока 6.3 входящего информационного потока осуществляется выделение и анализ статистических данных указанных потоков и сравнивают с подключенными ко второму входу сигнатурами блока 7.4 с целью выявления компьютерных атак.
Результаты идентификации и классификации атак передаются с первого выхода блока 6.3 на второй вход блока 3.2.
Если по результатам идентификации и классификации атак, устройство обнаружения компьютерных атак не смогло с требуемой достоверностью классифицировать атаку, формируется соответствующее сообщение и передается со второго выхода блока 6.3 на третий вход блока 3.1.
При поступлении на третий вход блока 3.1 сообщения, оператор, формирует управляющую команду на дополнительную активацию сигнатур и передает со второго выхода блока 3.1 на первый вход блока выбора дополнительных сигнатур (блок 5.3), а так же передает статистические значения трафика, которые устройство обнаружения компьютерных атак не смогло классифицировать.
В блоке 5.3 на основании принятой управляющей команды, значений входящего и исходящего трафика и имеющейся базы несокращенных сигнатур, поступающих на второй вход блока 5.3 со второго выхода блока 6.2 классифицируют атаку.
После классификации атаки с выхода блока 5.3 на третий вход блока 3.2 передается сообщение о классифицированной атаке.
Полученное сообщение о классификации атаки с выхода блока 3.2 передается на 2 вход блока 3.1, где оператор принимает решение об отключении выбранной в блоке 5.3 не активированной сигнатуры.
Расчёт эффективности заявленной системы проводился следующим образом:
Известно выражение для определения времени проверки принимаемого пакета (Гречишников Е.В., Добрышин М.М., Берлизев А.В. Предложение по совершенствованию системы мониторинга инцидентов информационной безопасности / Сборник трудов II Межвузовской научно-практической конференции Проблемы технического обеспечения войск в современных условиях: Военная академия связи. – Санкт-Петербург. –2017. – С.31-35.).
где - время проверки одного пакета; - количество операций для проверки пакета (сопоставимо с количеством сигнатур); - частота процессора.
Однако, в данной формуле не учтены операции по поиску сигнатур, подходящих для пакета информации конкретного вида. Дополненная формула будет выглядеть следующим образом:
при сравнении времени проверки одного пакета для способа прототипа и предлагаемой системы получим:
Так как в системе предлагается построение одного комплексного правила для каждого пакета данных, то при одинаковом количестве исходных сигнатур:
Созданные в устройстве формирования комплексных правил комплексные сигнатуры позволяют заранее знать следующую применяемую сигнатуру, благодаря чему сокращают количество операций по поиску сигнатур, и как следствие, заявленная система обнаружения компьютерных атак с адаптивным изменением комплексных правил обеспечивает снижение времени проверки пакетов потока данных.
Claims (1)
- Система обнаружения компьютерных атак с адаптивным изменением комплексных правил, состоящая из: анализатора сетевого трафика, выход которого соединен с первым входом устройства коммутации и согласования; устройства управления функционированием системы мониторинга, состоящего из блока ввода нормированных значений и сигнатур, второй выход соединен с первым входом блока сигнатур, первый выход соединен с входом базы данных, второй выход которой соединен с вторым входом блока сокращения сигнатур, первый выход соединен с вторым входом блока оценки параметров системы мониторинга, третий выход базы данных соединен с четвертым входом блока визуализации, выход блока визуализации соединен со вторым входом блока ручного управления, первый выход блока ручного управления соединен со вторым входом устройства коммутации и согласования; второй выход блока ручного управления соединен с первым входом блока выбора дополнительных сигнатур; устройства обработки данных и управления системы мониторинга, состоящего из блока оценки параметров системы мониторинга, первый выход которого соединен со вторым входом блока расчета коэффициентов корреляции, второй выход соединен с первым входом блока визуализации, третий выход соединен с блоком синтеза и конфигурации системы обнаружения атак, выход которого соединен с блоком коммутации сигнатур, блок выбора дополнительных сигнатур, выход соединен с третьим входом блока визуализации; устройства обнаружения компьютерных атак, состоящего из блока коммутации сигнатур, первый выход которого соединен с вторым входом блока сигнатур, второй выход с первым входом блока ручного управления; блока сигнатур, второй выход которого соединен с вторым входом блока выбора дополнительных сигнатур; блока идентификации и классификации атак, первый выход которого соединен со вторым входом блока визуализации, второй выход соединен с третьим входом блока ручного управления; устройства коммутации и согласования, первый выход устройства коммутации и согласования соединен с устройством промежуточных расчетов, а именно с первым входом блока расчета параметров быстродействия системы мониторинга и первым входом блока расчета коэффициентов корреляции, второй выход соединен с первым входом блока идентификации и классификации атак; устройства промежуточных расчетов, состоящего из блока расчета параметров быстродействия системы мониторинга, выход которого соединен с первым входом блока оценки параметров системы мониторинга; блока расчета коэффициентов корреляции, выход блока соединен с первым входом блока сокращения сигнатур; выход блока сокращения сигнатур соединен со вторым входом блока расчета параметров быстродействия системы мониторинга; отличающаяся тем, что дополнительно введено устройство формирования комплексных правил, состоящее из блока определения пути пакета, на первый вход которого поступают данные с третьего выхода блока устройства коммутации и согласования, на второй вход поступают данные с первого выхода блока сигнатур, выход блока определения путей пакета соединен с входом блока упорядочивания примененных сигнатур, выход которого соединен с входом блока формирования комплексного правила проверки, выход блока формирования комплексного правила проверки соединен с входом блока сохранения в базу комплексных сигнатур, первый выход блока сохранения комплексных правил соединен с пятым входом блока визуализации, второй выход соединен со вторым входом блока идентификации и классификации атак.
Publications (1)
Publication Number | Publication Date |
---|---|
RU2782711C1 true RU2782711C1 (ru) | 2022-11-01 |
Family
ID=
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20080307524A1 (en) * | 2004-04-08 | 2008-12-11 | The Regents Of The University Of California | Detecting Public Network Attacks Using Signatures and Fast Content Analysis |
US20120210421A1 (en) * | 2011-02-11 | 2012-08-16 | Verizon Patent And Licensing Inc. | Maliciouis user agent detection and denial of service (dos) detection and prevention using fingerprinting |
US10623429B1 (en) * | 2017-09-22 | 2020-04-14 | Amazon Technologies, Inc. | Network management using entropy-based signatures |
US20200169582A1 (en) * | 2014-11-03 | 2020-05-28 | Level 3 Communication, Llc | Identifying a potential ddos attack using statistical analysis |
RU2728763C1 (ru) * | 2019-07-26 | 2020-07-31 | Федеральное государственное казенное военное образовательное учреждение высшего образования Академия Федеральной службы охраны Российской Федерации | Адаптивная система мониторинга информационно-технических воздействий |
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20080307524A1 (en) * | 2004-04-08 | 2008-12-11 | The Regents Of The University Of California | Detecting Public Network Attacks Using Signatures and Fast Content Analysis |
US20120210421A1 (en) * | 2011-02-11 | 2012-08-16 | Verizon Patent And Licensing Inc. | Maliciouis user agent detection and denial of service (dos) detection and prevention using fingerprinting |
US20200169582A1 (en) * | 2014-11-03 | 2020-05-28 | Level 3 Communication, Llc | Identifying a potential ddos attack using statistical analysis |
US10623429B1 (en) * | 2017-09-22 | 2020-04-14 | Amazon Technologies, Inc. | Network management using entropy-based signatures |
RU2728763C1 (ru) * | 2019-07-26 | 2020-07-31 | Федеральное государственное казенное военное образовательное учреждение высшего образования Академия Федеральной службы охраны Российской Федерации | Адаптивная система мониторинга информационно-технических воздействий |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US9154516B1 (en) | Detecting risky network communications based on evaluation using normal and abnormal behavior profiles | |
EP3786827A1 (en) | Cyber attack adversary simulator | |
Moothedath et al. | A game-theoretic approach for dynamic information flow tracking to detect multistage advanced persistent threats | |
CN109194684B (zh) | 一种模拟拒绝服务攻击的方法、装置及计算设备 | |
CN104836702A (zh) | 一种大流量环境下主机网络异常行为检测及分类方法 | |
Kim | Supervised learning‐based DDoS attacks detection: Tuning hyperparameters | |
RU133954U1 (ru) | Устройство защиты сети | |
Osanaiye et al. | Change-point cloud DDoS detection using packet inter-arrival time | |
Wang et al. | An adversary-centric behavior modeling of DDoS attacks | |
CN109743314A (zh) | 网络异常的监控方法、装置、计算机设备及其存储介质 | |
Chen et al. | DDoS attack detection method based on network abnormal behaviour in big data environment | |
David et al. | Detection of distributed denial of service attacks based on information theoretic approach in time series models | |
Yue et al. | A cost-based analysis of intrusion detection system configuration under active or passive response | |
CN108683654A (zh) | 一种基于零日攻击图的网络脆弱性评估方法 | |
Gnanasekaran | Multi model network analysis for improved intrusion tracing towards mitigating DDoS attack | |
RU2782711C1 (ru) | Система обнаружения компьютерных атак с адаптивным изменением комплексных правил | |
CN110881016B (zh) | 一种网络安全威胁评估方法及装置 | |
Jafarabadi et al. | A stochastic epidemiological model for the propagation of active worms considering the dynamicity of network topology | |
Sallhammar et al. | A framework for predicting security and dependability measures in real-time | |
Protic et al. | WK-FNN design for detection of anomalies in the computer network traffic | |
RU2728763C1 (ru) | Адаптивная система мониторинга информационно-технических воздействий | |
Li et al. | Detection of variations of local irregularity of traffic under DDOS flood attack | |
Herold et al. | Collaborative incident handling based on the blackboard-pattern | |
CN114301796A (zh) | 预测态势感知的验证方法、装置及系统 | |
RU2683631C1 (ru) | Способ обнаружения компьютерных атак |