RU2813461C1 - Система обнаружения атак с адаптивным распределением вычислительных ресурсов - Google Patents
Система обнаружения атак с адаптивным распределением вычислительных ресурсов Download PDFInfo
- Publication number
- RU2813461C1 RU2813461C1 RU2023107049A RU2023107049A RU2813461C1 RU 2813461 C1 RU2813461 C1 RU 2813461C1 RU 2023107049 A RU2023107049 A RU 2023107049A RU 2023107049 A RU2023107049 A RU 2023107049A RU 2813461 C1 RU2813461 C1 RU 2813461C1
- Authority
- RU
- Russia
- Prior art keywords
- input
- attack detection
- output
- detection system
- computer
- Prior art date
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 64
- 230000003044 adaptive effect Effects 0.000 title claims description 7
- 238000004891 communication Methods 0.000 claims abstract description 24
- 238000011156 evaluation Methods 0.000 claims description 30
- 238000012937 correction Methods 0.000 claims description 10
- 230000000694 effects Effects 0.000 abstract description 2
- 239000000126 substance Substances 0.000 abstract 1
- 238000001914 filtration Methods 0.000 description 11
- 238000012544 monitoring process Methods 0.000 description 9
- 238000000034 method Methods 0.000 description 6
- 238000004458 analytical method Methods 0.000 description 5
- 230000006870 function Effects 0.000 description 5
- 230000006399 behavior Effects 0.000 description 4
- 238000005516 engineering process Methods 0.000 description 4
- 230000010354 integration Effects 0.000 description 4
- 238000012545 processing Methods 0.000 description 4
- 238000013528 artificial neural network Methods 0.000 description 2
- 230000000903 blocking effect Effects 0.000 description 2
- 238000004364 calculation method Methods 0.000 description 2
- 238000005206 flow analysis Methods 0.000 description 2
- 238000012546 transfer Methods 0.000 description 2
- 238000012800 visualization Methods 0.000 description 2
- 230000005540 biological transmission Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 238000009434 installation Methods 0.000 description 1
- 238000002360 preparation method Methods 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 230000001360 synchronised effect Effects 0.000 description 1
- 238000012360 testing method Methods 0.000 description 1
Abstract
Изобретение относится к вычислительной технике. Технический результат заключается в снижении вероятности пропуска цели системой обнаружения атак при увеличении скорости защищенного информационного потока корпоративных сетей. Технический результат обеспечивается за счет включения в состав системы обнаружения атак устройства оценки и управления балансировки используемых вычислительных ресурсов, состоящего из первого и второго блоков сравнения, базы данных, устройства ввода данных, соединенного с маршрутизатором, серверами услуг связи и планировщиком задач процессора системы обнаружения атак. 2 ил.
Description
Изобретение относится к вычислительной технике и сфере обеспечения информационной безопасности.
Известен «Автоматический межсетевой экран» (Патент РФ 2580004 Опубликовано: 10.04.2016 Бюл. № 10) представляющий совокупность аппаратных и программных средств, содержащий по меньшей мере два сетевых интерфейса, позволяющий фильтровать транзитный трафик без назначения своим интерфейсам сетевых адресов, содержит процессор, реализующий алгоритм многоуровневой фильтрации сетевого трафика, базирующейся на анализе направления транзита трафика, определяемого по принадлежности входного и выходного сетевых интерфейсов, к разделяемым сегментам вычислительной сети, а также с учетом анализа состояний телекоммуникационных протоколов транзитного трафика, причем фильтрация трафика проводится на канальном, сетевом и транспортном уровне.
Известна «Система защиты компьютерных сетей от несанкционированного доступа» (Патент РФ 2607997 Опубликовано: 11.01.2017 Бюл. № 2) представляет собой межсетевой фильтр, включаемый между двумя компьютерными сетями таким образом, что весь обмен информацией между указанными сетями ограничивается с помощью правил фильтрации, при этом межсетевой фильтр содержит по меньшей мере два сетевых интерфейса для обмена данными между клиентами первой компьютерной сети и второй компьютерной сети из двух вышеуказанных компьютерных сетей, содержит узел обработки трафика, включающий устройство управления, обеспечивающее ввод правил фильтрации трафика и хранение информации о правилах фильтрации, устройство анализа трафика, обеспечивающее проверку соответствия поступающей информации правилам фильтрации, а также коммутирующее устройство, через которое указанные сетевые интерфейсы соединены между собой и которое обеспечивает прохождение разрешенной правилами фильтрации информации между сетевыми интерфейсами и блокировку неразрешенной правилами фильтрации информации, при этом правила фильтрации запрещают транзитную передачу любых пакетов между указанными сетевыми интерфейсами кроме тех, которые имеют разрешенные признаки и параметры адресации в своих заголовках, форму информационной части пакета, соответствующую шаблону, хранящемуся в памяти межсетевого фильтра, а также параметры запроса или ответа, соответствующие множеству разрешенных значений, хранящихся в памяти межсетевого фильтра.
Известна «Система и способ обнаружения признаков компьютерной атаки» (патент РФ № 2661533 G06F 21/55, 17.07.2018 Бюл. № 20) содержащая: средство защиты компьютера, средство защиты от направленных атак, сервер репутации, сеть администратора; аналитический центр, средство обнаружения, базу данных угроз, базу данных объектов, базу данных подозрительной активности, базу данных компьютерных атак.
Известна «Система выбора средств и способов защиты организационно-технических систем от групповых разнородных информационно-технических воздействий» (Патент РФ 2728289 C1 Опубликовано: 29.07.2020 Бюл. № 22) включающая n - комплектов средств измерения физических параметров канала связи; m-комплектов оконечной аппаратуры; g – комплектов пользовательского интерфейса; блок анализа физических параметров канала связи; блок анализа сетевого потока; блок оценки качества предоставляемых услуг связи; блок контроля значений параметров системы; базу данных и блок визуализации; первый выход n - комплектов средств измерения физических параметров канала связи, соединен с входом m - комплектов оконечной аппаратуры; второй выход n - средств измерения физических параметров канала связи, соединен с входом блока анализа физических параметров канала связи; первый выход m - комплектов оконечной аппаратуры, соединен с g – комплектами пользовательских интерфейсов; второй выход m - комплектов оконечной аппаратуры соединен входом блока анализа сетевого потока; выход g – комплектов пользовательских интерфейсов, соединен со входом блока оценки качества предоставляемых услуг связи; выход базы данных соединен с первым входом блока контроля значений параметров системы; выходы блоков анализа физических параметров канала связи, блока анализа сетевого потока и блока оценки качества предоставляемых услуг связи соединены с вторым, третьем и четвертым входами блока контроля значений параметров системы, блок анализа девиантного поведения системы; блок оценки возможностей одиночных информационно-технических воздействий; блок оценки возможностей групповых разнородных информационно-технических воздействий; блок выбора вариантов стратегии защиты и блок формирования отчета; первый выход блока контроля значений параметров системы соединен с первым входом блока анализа девиантного поведения системы; второй выход базы данных соединен со вторым входом блок анализа девиантного поведения системы; первый выход, которого соединен с входом блока оценки возможностей одиночных информационно-технических воздействий; первый выход блока оценки возможностей одиночных информационно-технических воздействий соединен с третьим входом блока анализа девиантного поведения системы; второй выход блока оценки возможностей одиночных информационно-технических воздействий соединен с входом блока оценки возможностей групповых разнородных информационно-технических воздействий; третий выход блока оценки возможностей одиночных информационно-технических воздействий соединен с первым входом блока выбора вариантов стратегии защиты; выход блока оценки возможностей групповых разнородных информационно-технических воздействий соединен с вторым входом блока выбора вариантов стратегии защиты; второй выход блока контроля значений параметров системы соединен с первым входом блока формирования отчета; выход блока выбора вариантов стратегии защиты соединен со вторым входом блока формирования отчета; выход блока формирования отчета соединен с входом блока визуализации.
Наиболее близким по технической сущности и выполняемым функциям аналогом (прототипом) к заявленной является Система обнаружения компьютерных атак «Форпост» (Система обнаружения компьютерных атак «Форпост» / Описание применения. Версия 2.0 // ЗАО РНТ : 2011. – 35 с.) состоящая из: информационного фонда (представляет собой базу данных, работающую под управлением СУБД MS SQL 2005/2008) и специального компонента «Агент БД» (обеспечивает: централизованное хранение событий системы; централизованное хранение шаблонов датчиков и базы сигнатур СОА); координационного центра (обеспечивает передачу информации между модулями и выполняет функции контроля работоспособности компонентов); консоли администратора (обеспечивает пользовательский интерфейс и позволяет: просматривать текущее состояние компонентов системы; производить удаленную установку, настройку и удаление компонентов системы, для которых предусмотрена такая возможность; просматривать информацию об обнаруженных атаках и нарушении целостности файлов в журнале модулей-датчиков; просматривать системные сообщения, генерируемые компонентами СОА в журнале системных сообщений; просматривать в журнале сетевого оборудования сообщения от подключенного к СОА сетевого оборудования; просматривать системный журнал, содержащий служебную информацию, формируемую компонентами СОА и информацию об управлении подключенным сетевым оборудованием; производить настройку модулей системы; производить блокировку источника атаки с помощью сетевого оборудования; управлять подключенным к СОА сетевым оборудованием (межсетевые экраны, коммутаторы, маршрутизаторы и т. д.); производить выборку ранее произошедших событий с использованием гибкой системы фильтрации; генерировать отчёты на основе содержимого журналов СОА); модуля интеграции с сетевым оборудованием состоящего из: модуля управления сетевым оборудованием (предоставляет возможность посылать команды сетевому оборудованию (коммутаторам, межсетевым экранам и др.), либо, на основе шаблонов, с целью блокирования компьютерной атаки в стадии ее развития); модуля приема сообщений от сетевых устройств (предоставляет возможность приема SNMP и syslog-сообщений от различных узлов сети (коммутаторы, межсетевые экраны и др.) с последующей их обработкой и выводом в журнал СОА в понятном для пользователя виде); модуля интеграции с внешними системами (предоставляет возможность экспорта сообщений, поступающих в журнал датчиков СОА, в различные внешние системы корреляции и мониторинга (такие как Cisco Mars, ArcSight и др.)); модуля интеграции с сетевым оборудованием (предназначен для: установления и поддержания подключения к сетевому оборудованию (межсетевые экраны, коммутаторы, маршрутизаторы) по протоколам RS-232, telnet; управления сетевым оборудованием (блокировка источников угроз на основе ранее написанных шаблонов, ручное управление); получения системных сообщений от сетевого оборудования (по протоколам SNMP и syslog); интеграции с внешними системами (например, с различными системами корреляции: Cisco Mars, ArcSight и др.) путем отсылки сообщений о компьютерных атаках из журнала СОА по протоколу syslog); модуля почтовых уведомлений позволяет автоматически по электронной почте отправлять заранее заданным адресатам информацию об обнаруженных атаках и событиях, происходящих в системе; агентов (выполняющего функции управления датчиками, а также функции обеспечения передачи информации между датчиками и координационным центром. К одному агенту может быть подключен один датчик контроля целостности и несколько сетевых датчиков); сетевых датчиков (осуществляет анализ поступающего трафика на наличие в нем компьютерных атак используя сигнатурный метод; подключается к зеркалирующему (SPAN) порту коммутатора, межсетевого экрана, специализированного ответвителя трафика (TAP) и пр); датчиков контроля целостности (производит контроль целостности собственных ресурсов СОА и ресурсов защищаемой АИС).
Техническая проблема: высокая вероятность пропуска цели системой обнаружения атак при увеличении скорости защищенного информационного потока корпоративных сетей из-за отсутствия возможности балансировки вычислительных мощностей системы, при не использовании отдельных из предоставляемых услуг связи.
Технический результат: снижение вероятности пропуска цели системой обнаружения атак при увеличении скорости защищенного информационного потока корпоративных сетей за счет возможности балансировки вычислительных мощностей системы, при не использовании отдельных из предоставляемых услуг связи.
Решение технической проблемы: за счет включения в состав системы обнаружения атак: устройства оценки и управления балансировки используемых вычислительных ресурсов, состоящего из первого и второго блоков сравнения, базы данных, устройства ввода данных, соединенное с маршрутизатором, серверами услуг связи и планировщиком задач процессора системы обнаружения атак.
Техническая проблема решается за счет разработки системы обнаружения атак с адаптивным распределением вычислительных ресурсов состоящей из: второй выход маршрутизатора (1) соединен с первыми входами сетевых датчиков системы обнаружения компьютерных атак (2.4-2.n), входящих в состав системы обнаружения атак (2); первые выходы сетевых датчиков средства обнаружения компьютерных атак (2.4-2.n) соединены с первым входом коммутатора (3); вторые выходы сетевых датчиков средств обнаружения компьютерных атак (2.4-2.n) соединены с первым входом сетевого агента системы обнаружения атак (2.3) входящего в состав системы обнаружения атак (2); вторые входы сетевых датчиков средств обнаружения компьютерных атак (2.4-2.n) соединены с первым выходом процессора системы обнаружения атак (2.1), входящего в состав системы обнаружения атак (2); первый выход планировщика задач (2.2) соединен с первым входом процессора системы обнаружения атак (2.1); устройства ввода данных и управления (5.4).
Согласно изобретению дополнительно введено первый вход маршрутизатора (1) подключен к единой сети электросвязи; первый выход маршрутизатора (1) соединен с первым входом вычислителя (5.1), входящего с состав устройства оценки и управления балансировки используемых вычислительных ресурсов (5); первый выход коммутатора (3) соединен с первыми входами серверов услуг связи (4.1-4.m); первые выходы серверов услуг связи (4.1-4.m) соединены со вторым входом вычислителя (5.1); первый выход вычислителя (5.1) соединен со вторым входом базы данных (5.3) входящей с состав устройства оценки и управления балансировки используемых вычислительных ресурсов (5); первый выход базы данных (5.3) соединен с первым входом планировщика задач (2.2) входящего в состав системы обнаружения атак (2); первый вход базы данных (5.3) соединен с первым выходом устройства ввода данных и управления (5.4) входящей с состав устройства оценки и управления балансировки используемых вычислительных ресурсов (5); третий вход базы данных (5.3) соединен с первым выходом устройства оценки и корректирования (5.2) входящего с состав устройства оценки и управления балансировки используемых вычислительных ресурсов (5); второй выход устройства ввода данных и управления (5.4) соединен с третьим входом устройства оценки и корректирования (5.2); второй выход планировщика задач (2.2) соединен с вторым входом устройства оценки и корректирования (5.2); первый выход сетевого агента системы обнаружения атак (2.3) соединен с третьим входом устройства оценки и корректирования (5.2).
Перечисленная новая совокупность существенных признаков обеспечивает снижение вероятности пропуска цели системой обнаружения атак при увеличении скорости защищенного информационного потока корпоративных сетей за счет возможности балансировки вычислительных мощностей системы, при не использовании отдельных из предоставляемых услуг связи.
Проведенный анализ уровня техники позволил установить, что аналоги, характеризующиеся совокупностями признаков, тождественным всем признакам заявленной системы, отсутствуют. Следовательно, заявленное изобретение соответствует условию патентоспособности «новизна».
«Промышленная применимость» разработанной системы обусловлена наличием элементной базы, на основе которой могут быть выполнены устройства, реализующие данную систему с достижением указанного в изобретении результата.
Результаты поиска известных решений в данной и смежной областях техники с целью выявления признаков, совпадающих с отличительными от прототипов признаками заявленного изобретения, показали, что они не следуют явным образом из уровня техники. Из определенного заявителем уровня техники не выявлена известность влияния предусматриваемых существенными признаками заявленного изобретения на достижение указанного технического результата. Следовательно, заявленное изобретение соответствует условию патентоспособности «изобретательский уровень».
Заявленные объекты системы поясняются:
Фиг.1 – структурная схема системы обеспечения информационной безопасности с адаптивным распределением вычислительных ресурсов.
Система обеспечения информационной безопасности с адаптивным распределением вычислительных ресурсов (фиг. 1) состоит из: первый вход маршрутизатора (1) подключен к единой сети электросвязи; первый выход маршрутизатора (1) соединен с первым входом вычислителя (5.1), входящего с состав устройства оценки и управления балансировки используемых вычислительных ресурсов (5); второй выход маршрутизатора (1) соединен с первыми входами сетевых датчиков средства обнаружения компьютерных атак (2.4-2.n), входящих в состав системы обнаружения атак (2); первые выходы сетевых датчиков средства обнаружения компьютерных атак (2.4-2.n) соединены с первым входом коммутатора (3); вторые выходы сетевых датчиков средств обнаружения компьютерных атак (2.4-2.n) соединены с первым входом сетевого агента системы обнаружения атак (2.3) входящего в состав системы обнаружения атак (2); вторые входы сетевых датчиков средств обнаружения компьютерных атак (2.4-2.n) соединены с первым выходом процессора системы обнаружения атак (2.1), входящего в состав системы обнаружения атак (2); первый выход коммутатора (3) соединен с первыми входами серверов услуг связи (4.1-4.m); первые выходы серверов услуг связи (4.1-4.m) соединены со вторым входом вычислителя (5.1); первый выход вычислителя (5.1) соединен со вторым входом базы данных (5.3) входящей с состав устройства оценки и управления балансировки используемых вычислительных ресурсов (5); первый выход базы данных (5.3) соединен с первым входом планировщика задач (2.2) входящего в состав системы обнаружения атак (2); первый вход базы данных (5.3) соединен с первым выходом устройства ввода данных и управления (5.4) входящей с состав устройства оценки и управления балансировки используемых вычислительных ресурсов (5); третий вход базы данных (5.3) соединен с первым выходом устройства оценки и корректирования (5.2) входящего с состав устройства оценки и управления балансировки используемых вычислительных ресурсов (5); второй выход устройства ввода данных и управления (5.4) соединен с третьим входом устройства оценки и корректирования (5.2); первый выход планировщика задач (2.2) соединен с первым входом процессора системы обнаружения атак (2.1); второй выход планировщика задач (2.2) соединен с вторым входом устройства оценки и корректирования (5.2); первый выход сетевого агента системы обнаружения атак (2.3) соединен с третьим входом устройства оценки и корректирования (5.2).
Система обеспечения информационной безопасности с адаптивным распределением вычислительных ресурсов на этапе подготовки к работе , функционирует следующим образом: с помощью устройства ввода данных и управления (5.4), входящего с состав устройства оценки и управления балансировки используемых вычислительных ресурсов (5) в базу данных (5.3), входящего с состав устройства оценки и управления балансировки используемых вычислительных ресурсов (5) записывают варианты распределения вычислительных ресурсов между сетевыми датчиками (2.2-2.n), входящими в состав системы обнаружения атак (2); с помощью устройства ввода данных и управления (5.4) в устройстве оценки и корректирования (5.2), входящего с состав устройства оценки и управления балансировки используемых вычислительных ресурсов (5) формируют и проводят обучение нейросети.
Система обеспечения информационной безопасности с адаптивным распределением вычислительных ресурсов функционирует следующим образом: на первый вход маршрутизатора (1) поступает анализируемый информационный поток, где измеряется фактическая скорость информационного потока; измеренные значения скорости анализируемого информационного потока передаются с первого выхода маршрутизатора (1) на первый вход вычислителя (5.1), входящего с состав устройства оценки и управления балансировки используемых вычислительных ресурсов (5); со второго выхода маршрутизатора (1) на первые входы сетевых датчиков средства обнаружения компьютерных атак (2.4-2.n), входящих в состав системы обнаружения атак (2) передается анализируемый информационный поток; сетевые датчики средства обнаружения компьютерных атак (2.4-2.n) анализируют информационный поток на предмет наличия признаков характеризующих заданные угрозы информационной безопасности; проанализированный датчиками средства обнаружения компьютерных атак (2.4-2.n) информационный поток с первых выходов сетевых датчиков поступает на первый входом коммутатора (3); коммутатор осуществляет распределение информационного потока между серверами услуг связи (4.1-4.m), с первого выхода коммутатора (3) информационный поток поступает на первые входы серверов услуг связи (4.1-4.m); серверы услуг связи (4.1-4.m) осуществляют обработку и распределение услуг между абонентами, измеряют использование серверных вычислительных ресурсов и с первых выходов передают измеренные значения на второй вход вычислителя (5.1); в вычислителе (5.1) на основании поступивших исходных данных рассчитывают долю от общего входящего информационного потока для каждого из проверяемых видов сетевых протоколов; рассчитанные значения доли распределения видов информационных протоколов с первого выхода вычислителя (5.1) передаются на второй вход базы данных (5.3), входящего в состав устройства оценки и управления балансировки используемых вычислительных ресурсов (5); в базе данных(5.3) на основании полученных из вычислителя (5.1) данных выявляют из занесенных в базу данных вариантов распределения вычислительных ресурсов системы обнаружения атак наиболее полно удовлетворяющий требованиям по производительности и вероятности пропуска цели; с первого выхода базы данных (5.3) на первый вход планировщика задач (2.2), входящего в состав системы обнаружения атак (2) передается команда о распределении вычислительных ресурсов между сетевых датчиков (2.4-2.n); в планировщике задач (2.2) осуществляется адаптация полученной команды и с первого выхода передаются на первый вход процессора (2.1) входящего в состав системы обнаружения атак (2); на основании полученной команды о распределении вычислительных ресурсов в процессоре (2.1) осуществляется синхронизация работы сетевых датчиков средства обнаружения компьютерных атак (2.4-2.n) и перераспределение вычислительных ресурсов, изменение доли вычислительных ресурсов системы обнаружения атак (2) осуществляется после передачи команды с первого выхода процессора (2.1) на вторые входы датчиков средства обнаружения компьютерных атак (2.4-2.n); сведения о выявленных признаках характеризующих компьютерную атаку передаются со вторых выходов сетевых датчиков средства обнаружения компьютерных атак (2.4-2.n) на сетевой агент системы обнаружения атак (2.3); сетевой агент системы обнаружения атак (2.3) обобщает статистические данные, полученные от сетевых агентов (2.4-2.n) и с первого выхода передает их на первый вход устройства оценки и корректирования (5.2) входящего в состав устройства оценки и управления балансировки используемых вычислительных ресурсов (5); на второй выход устройства оценки и корректирования (5.2) со второго выхода планировщика (2.2) передаются значения распределения вычислительных ресурсов между сетевыми агентами (2.4-2.n); входные данные пришедшие на первый и второй входы устройства оценки и корректирования (5.2) сохраняются в базе данных (5.3), путем передачи соответствующих команд с первого выхода устройства оценки и корректирования (5.2) на третий вход базы данных (5.3); на третий вход устройства оценки и корректирования (5.2) со второго выхода устройства ввода данных и управления (5.4) поступают статистические данные о событиях информационной безопасности за заданный период наблюдения; в устройстве оценки и корректирования (5.2) на основании результатов работы нейросети производится оценка правильности распределения информационных ресурсов между сетевыми агентами (2.4-2.n), если в ходе оценки правильности распределения ресурсов, выявлены ошибки, то с первого выхода устройстве оценки и корректирования (5.2) на третий вход базы данных (5.3) передается корректирующая команда.
Расчёт эффективности заявленной системы проводился следующим образом:
Сформирован испытательный стенд с применением СОА «Форпост» (Версия 2.0) (Система обнаружения компьютерных атак «Форпост» / Описание применения. Версия 2.0 // ЗАО РНТ : 2011. рис. 2.1 стр. 12 и рис. 2.7 стр. 27).
Осуществлена настройка СОА «Форпост» (Версия 2.0) (Система обнаружения компьютерных атак «Форпост» / Руководство администратора. Версия 2.0// ЗАО РНТ : 2011. стр. 92-250).
Смоделирована работа СОА «Форпост» (Версия 2.0) при изменении входящего информационного потока (диапазон изменения – 103-106 кбит/с.
Измерено количество необработанных пакетов.
Рассчитана вероятность пропуска цели системой обнаружения атак для указанного диапазона изменения информационного потока, для способа прототипа:
где - количество не проверенных пакетов, - количество переданных пакетов, для заданной скорости информационного потока.
Результаты расчетов вероятности пропуска цели системой обнаружения атак для способа прототипа ( ) показаны на фигуре 2.
После дополнения системы обнаружения атак и настройки разработанной схемы, осуществлено моделирование разработанной системы.
Измерено количество необработанных пакетов.
Рассчитана вероятность пропуска цели системой обнаружения атак для указанного диапазона изменения информационного потока, разработанной системы. Результаты расчетов вероятности пропуска цели системой обнаружения атак для разработанной системы ( - для обработки информационного потока сетевым датчиком, использующим два процессора (1 ГГц); - для обработки информационного потока сетевым датчиком, использующим три процессора (1 ГГц)) показаны на фигуре 2.
На основании анализа результатов оценки результатов оценки эффективности (фиг. 2), следует вывод, что заявленная система обеспечивает снижение вероятности пропуска цели системой обнаружения атак при увеличении скорости защищенного информационного потока корпоративных сетей за счет возможности балансировки вычислительных мощностей системы, при не использовании отдельных из предоставляемых услуг связи и как следствие обеспечивает достижение заявленного технического результата.
Claims (2)
- Система обнаружения атак с адаптивным распределением вычислительных ресурсов состоящая из:
- сетевых датчиков средства обнаружения компьютерных атак, входящих в состав системы обнаружения атак, первые входы которых соединены с вторым выходом маршрутизатора; первые выходы сетевых датчиков средства обнаружения компьютерных атак соединены с первым входом коммутатора; вторые выходы сетевых датчиков средств обнаружения компьютерных атак соединены с первым входом сетевого агента системы обнаружения атак входящего в состав системы обнаружения атак; вторые входы сетевых датчиков средств обнаружения компьютерных атак соединены с первым выходом процессора системы обнаружения атак, входящего в состав системы обнаружения атак; первый выход планировщика задач соединен с первым входом процессора системы обнаружения атак, устройства ввода данных и управления отличающаяся тем, что первый вход маршрутизатора подключен к единой сети электросвязи; первый выход маршрутизатора соединен с первым входом вычислителя, входящего с состав устройства оценки и управления балансировки используемых вычислительных ресурсов; первый выход коммутатора соединен с первыми входами серверов услуг связи; первые выходы серверов услуг связи соединены со вторым входом вычислителя; первый выход вычислителя соединен со вторым входом базы данных входящей с состав устройства оценки и управления балансировки используемых вычислительных ресурсов; первый выход базы данных соединен с первым входом планировщика задач входящего в состав системы обнаружения атак; первый вход базы данных соединен с первым выходом устройства ввода данных и управления входящей с состав устройства оценки и управления балансировки используемых вычислительных ресурсов; третий вход базы данных соединен с первым выходом устройства оценки и корректирования входящего с состав устройства оценки и управления балансировки используемых вычислительных ресурсов; второй выход устройства ввода данных и управления соединен с третьим входом устройства оценки и корректирования; второй выход планировщика задач соединен с вторым входом устройства оценки и корректирования; первый выход сетевого агента системы обнаружения атак соединен с третьим входом устройства оценки и корректирования.
Publications (1)
Publication Number | Publication Date |
---|---|
RU2813461C1 true RU2813461C1 (ru) | 2024-02-12 |
Family
ID=
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20080215742A1 (en) * | 2000-04-28 | 2008-09-04 | German Goldszmidt | METHOD AND APPARATUS FOR DYNAMICALLY ADJUSTING RESOURCES ASSIGNED TO PLURALITY OF CUSTOMERS, FOR MEETING SERVICE LEVEL AGREEMENTS (SLAs) WITH MINIMAL RESOURCES, AND ALLOWING COMMON POOLS OF RESOURCES TO BE USED ACROSS PLURAL CUSTOMERS ON A DEMAND BASIS |
US20110154494A1 (en) * | 2003-04-16 | 2011-06-23 | Verizon Patent And Licensing Inc. | Methods and Systems for Network Attack Detection and Prevention Through Redirection |
US20140223562A1 (en) * | 2008-09-26 | 2014-08-07 | Oracle International Corporation | System and Method for Distributed Denial of Service Identification and Prevention |
RU2728763C1 (ru) * | 2019-07-26 | 2020-07-31 | Федеральное государственное казенное военное образовательное учреждение высшего образования Академия Федеральной службы охраны Российской Федерации | Адаптивная система мониторинга информационно-технических воздействий |
US20220407841A1 (en) * | 2019-11-15 | 2022-12-22 | Naukowa i Akademicka Siec Komputerowa - Panstwowy Instytut Badawczy | A Method And Unit For Adaptive Creation Of Network Traffic Filtering Rules On A Network Device That Autonomously Detects Anomalies And Automatically Mitigates Volumetric (DDOS) Attacks |
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20080215742A1 (en) * | 2000-04-28 | 2008-09-04 | German Goldszmidt | METHOD AND APPARATUS FOR DYNAMICALLY ADJUSTING RESOURCES ASSIGNED TO PLURALITY OF CUSTOMERS, FOR MEETING SERVICE LEVEL AGREEMENTS (SLAs) WITH MINIMAL RESOURCES, AND ALLOWING COMMON POOLS OF RESOURCES TO BE USED ACROSS PLURAL CUSTOMERS ON A DEMAND BASIS |
US20110154494A1 (en) * | 2003-04-16 | 2011-06-23 | Verizon Patent And Licensing Inc. | Methods and Systems for Network Attack Detection and Prevention Through Redirection |
US20140223562A1 (en) * | 2008-09-26 | 2014-08-07 | Oracle International Corporation | System and Method for Distributed Denial of Service Identification and Prevention |
RU2728763C1 (ru) * | 2019-07-26 | 2020-07-31 | Федеральное государственное казенное военное образовательное учреждение высшего образования Академия Федеральной службы охраны Российской Федерации | Адаптивная система мониторинга информационно-технических воздействий |
US20220407841A1 (en) * | 2019-11-15 | 2022-12-22 | Naukowa i Akademicka Siec Komputerowa - Panstwowy Instytut Badawczy | A Method And Unit For Adaptive Creation Of Network Traffic Filtering Rules On A Network Device That Autonomously Detects Anomalies And Automatically Mitigates Volumetric (DDOS) Attacks |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US20210092153A1 (en) | Ddos attack detection and mitigation method for industrial sdn network | |
EP3652914B1 (en) | Cyberanalysis workflow acceleration | |
EP3528462A1 (en) | A method for sharing cybersecurity threat analysis and defensive measures amongst a community | |
US7237267B2 (en) | Policy-based network security management | |
Ganesh Kumar et al. | Improved network traffic by attacking denial of service to protect resource using Z-test based 4-tier geomark traceback (Z4TGT) | |
Law et al. | You can run, but you can't hide: an effective statistical methodology to trace back DDoS attackers | |
Andropov et al. | Network anomaly detection using artificial neural networks | |
MAHRACH et al. | DDoS flooding attack mitigation in software defined networks | |
Neu et al. | Lightweight IPS for port scan in OpenFlow SDN networks | |
Singh et al. | Prevention mechanism for infrastructure based denial-of-service attack over software defined network | |
US8806634B2 (en) | System for finding potential origins of spoofed internet protocol attack traffic | |
Furfaro et al. | A simulation model for the analysis of DDOS amplification attacks | |
Ujcich et al. | Causal Analysis for {Software-Defined} Networking Attacks | |
RU2813461C1 (ru) | Система обнаружения атак с адаптивным распределением вычислительных ресурсов | |
Zhang et al. | Towards verifiable performance measurement over in-the-cloud middleboxes | |
Wang et al. | DDoS attacks traffic and Flash Crowds traffic simulation with a hardware test center platform | |
US20050240780A1 (en) | Self-propagating program detector apparatus, method, signals and medium | |
KR20110067871A (ko) | Ip 망에서 oam 패킷을 이용한 트래픽 감시 및 제어를 위한 네트워크 액세스 장치 및 방법 | |
Affinito et al. | Spark-based port and net scan detection | |
Kato et al. | A real-time intrusion detection system (IDS) for large scale networks and its evaluations | |
Hwoij et al. | Detecting Network Anomalies using Rule-based machine learning within SNMP-MIB dataset | |
Okafor et al. | Vulnerability bandwidth depletion attack on distributed cloud computing network: A qos perspective | |
AT&T | h6.ps | |
RU2685989C1 (ru) | Способ снижения ущерба, наносимого сетевыми атаками серверу виртуальной частной сети | |
Lange et al. | Event Prioritization and Correlation based on Pattern Mining Techniques |