RU2814463C1 - Method for protection of computer networks based on legendizing - Google Patents
Method for protection of computer networks based on legendizing Download PDFInfo
- Publication number
- RU2814463C1 RU2814463C1 RU2023120277A RU2023120277A RU2814463C1 RU 2814463 C1 RU2814463 C1 RU 2814463C1 RU 2023120277 A RU2023120277 A RU 2023120277A RU 2023120277 A RU2023120277 A RU 2023120277A RU 2814463 C1 RU2814463 C1 RU 2814463C1
- Authority
- RU
- Russia
- Prior art keywords
- information
- unauthorized
- identifiers
- sets
- information resources
- Prior art date
Links
- 238000000034 method Methods 0.000 title claims description 22
- 230000003993 interaction Effects 0.000 claims description 23
- 230000004044 response Effects 0.000 claims description 9
- 238000004891 communication Methods 0.000 abstract description 8
- 239000000126 substance Substances 0.000 abstract 1
- 230000001066 destructive effect Effects 0.000 description 4
- 238000005516 engineering process Methods 0.000 description 4
- 230000008520 organization Effects 0.000 description 4
- 230000005540 biological transmission Effects 0.000 description 3
- 101150021603 metQ gene Proteins 0.000 description 3
- 238000013459 approach Methods 0.000 description 2
- 230000015572 biosynthetic process Effects 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 230000007246 mechanism Effects 0.000 description 2
- 238000012549 training Methods 0.000 description 2
- 230000001755 vocal effect Effects 0.000 description 2
- 101100023016 Methanothermobacter marburgensis (strain ATCC BAA-927 / DSM 2133 / JCM 14651 / NBRC 100331 / OCM 82 / Marburg) mat gene Proteins 0.000 description 1
- 239000008186 active pharmaceutical agent Substances 0.000 description 1
- 230000003044 adaptive effect Effects 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 101150095438 metK gene Proteins 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 230000002093 peripheral effect Effects 0.000 description 1
Abstract
Description
Изобретение относится к области обеспечения безопасности сетей связи и может быть использовано в системах обнаружения компьютерных атак с целью повышения защищенности вычислительных сетей от деструктивных воздействий.The invention relates to the field of ensuring the security of communication networks and can be used in computer attack detection systems in order to increase the security of computer networks from destructive influences.
Известен «Способ контроля информационных потоков в цифровых сетях связи» по патенту РФ №2267154, класс G06F 15/40, заявл. 13.07.2004, заключающийся в том, что предварительно задают N≥1 опорных идентификаторов санкционированных информационных потоков (ИП), содержащих адреса отправителей и получателей пакетов сообщений, принимают из канала связи пакет сообщений, выделяют из заголовка принятого пакета сообщений идентификатор ИП, сравнивают выделенный идентификатор с предварительно заданными опорными идентификаторами санкционированных ИП и при их совпадении передают пакет сообщений получателю, а при их несовпадении сравнивают адрес отправителя, указанный в идентификаторе принятого пакета сообщений с адресами отправителей, указанными в опорных идентификаторах санкционированных ИП.Known “Method for monitoring information flows in digital communication networks” according to RF patent No. 2267154, ClassG06F 15/40, app. 07/13/2004, which consists in pre-settingN≥1 reference identifiers of authorized information flows (IPs) containing the addresses of senders and recipients of message packages, receive a message package from the communication channel, extract an PI identifier from the header of the received message package, compare the selected identifier with predefined reference identifiers of authorized PIs and, if they match, transmit message package to the recipient, and if they do not match, the sender address specified in the identifier of the received message package is compared with the sender addresses specified in the reference identifiers of authorized IPs.
Известен также «Способ защиты вычислительных сетей» по патенту РФ №2307392, класс G06F 21/00, H04L 9/32, заявл. 02.05.2006, заключающийся в том, что предварительно задают Р≥1 ложных адресов абонентов вычислительной сети, эталоны идентификаторов типа протоколов взаимодействия, врем задержки отправки пакетов сообщений t зад, а при несовпадении выделенных идентификаторов очередного принятого пакета с идентификаторами ранее запомненного i-го несанкционированного ИП сравнивают адрес получателя в принятом пакете сообщений с предварительно заданными ложными адресами абонентов вычислительной сети, и при их несовпадении, а так же при выполнении условия K i >K max , блокируют передачу пакета сообщений и переходят к приему очередного пакета сообщений, а при несовпадении адреса отправителя в принятом пакете сообщений с адресами отправителей опорных идентификаторов санкционированных ИП или совпадении адреса получателя в принятом пакете сообщений с адресами получателей опорных идентификаторов санкционированных ИП, или его совпадении с предварительно заданными ложными адресами абонентов вычислительной сети запоминают идентификатор очередного несанкционированного ИП, увеличивают на единицу число его появлений К i и в случае невыполнении условия К i ≥К max , формируют ответный пакет сообщений, соответствующий идентифицируемому протоколу взаимодействия, а затем через заданное время задержки отправки пакетов сообщений t зад снижают скорость передачи сформированного пакета сообщений и передают его отправителю, после чего принимают из канала связи очередной пакет сообщений.Also known is the “Method for protecting computer networks” according to RF patent No. 2307392, ClassG06F 21/00,H04L 9/32, app. 05/02/2006, which consists in pre-settingR≥1 false addresses of computer network subscribers, standards of identifiers of the type of interaction protocols, delay time for sending message packetst ass, and if the selected identifiers of the next received packet do not match the identifiers of the previously rememberediof the th unauthorized individual entrepreneur, the address of the recipient in the received packet of messages is compared with pre-specified false addresses of subscribers of the computer network, and if they do not match, as well as if the condition is metK i >K max , block the transmission of a package of messages and proceed to receiving the next package of messages, and if the sender's address in the received package of messages does not match the addresses of the senders of the reference identifiers of authorized IPs or the recipient's address in the received package of messages matches the addresses of recipients of the reference identifiers of authorized IPs, or it coincides with the previously using the given false addresses of computer network subscribers, they remember the identifier of the next unauthorized IP, increase the number of its appearances by oneTO i and if the condition is not metTO i ≥TO max , form a response message packet corresponding to the identified interaction protocol, and then, after a specified delay time, send message packetst ass they reduce the transmission speed of the generated message package and transmit it to the sender, after which they receive the next message package from the communication channel.
Известен также «Способ защиты вычислительных сетей» по патенту РФ №2475836, класс G06F 21/00, H04L 9/32, опубл. 20.02.2016, бюл. № 5, заключающийся в том, что задают множество эталонных наборов появлений несанкционированных ИП отличающихся друг от друга идентификаторами S эт={S j }, где j - заданное количество эталонных наборов соответствующих определенным типам компьютерных атак, S j ={С r }, где С r - определенная последовательность появлений несанкционированного ИП, отличающихся друг от друга идентификаторами, а также задают пороговое значение коэффициента совпадения Q совп_порог последовательности появлений несанкционированного ИП с соответствующим эталонным набором. После выделения идентификаторов из заголовка очередного принятого пакета сообщений и их сравнения с опорными идентификаторами, при несовпадении адреса получателя в принятом пакете сообщений несанкционированного ИП с заданными ложными адресами абонентов вычислительной сети дополнительно добавляют его в список предварительно заданных ложных адресов абонентов вычислительной сети. Затем передают пакет сообщения несанкционированного ИП на заданные ложные адреса абонентов вычислительной сети, и идентифицируют несанкционированный ИП. Для чего сравнивают идентификаторы появления К i принимаемого ИП со значениями С r в эталонных наборах S j появлений несанкционированных ИП, и при несовпадении формируют новый S j +1 эталонный набор и запоминают его во множестве эталонных наборов появлений несанкционированного ИП, а при совпадении запоминают номера эталонных наборов, которым принадлежит i-ое появление несанкционированного ИП. После чего сравнивают значения полученного коэффициента совпадения Q совп с пороговым значением Q совп_порог. и при выполнении условия Q совп Q совп_порог блокируют i-ый несанкционированный ИП, и формируют сигнал атаки на вычислительную сеть, а при невыполнении условия после формирования ответного пакета сообщений увеличивают время задержки отправки пакетов сообщений t зад на заданный интервал времени .Also known is the “Method for protecting computer networks” according to RF patent No. 2475836, ClassG06F 21/00,H04L 9/32, publ. 02/20/2016, bulletin. No. 5, which is that they ask set of reference sets of occurrences of unauthorized IPs with different identifiersS this={S j }, Wherej - a specified number of reference sets corresponding to certain types of computer attacks,S j ={WITH r }, Where WITH r - a certain sequence of appearances of an unauthorized IP, differing from each other by identifiers, and also set threshold meaning coincidence rateQ match_threshold sequence of appearances of an unauthorized IP with the corresponding reference set. After extracting identifiers from the header of the next received message package and comparing them with the reference identifiers, if the recipient's address in the received message package of an unauthorized individual entrepreneur does not match with the specified false addresses of computer network subscribers, it is additionally added to the list of predefined false addresses of computer network subscribers. Then the message package of the unauthorized IP is transmitted to the specified false addresses of subscribers of the computer network, and the unauthorized IP is identified. Why compare spawn IDsTO i received IP with valuesWITH r in reference setsS j appearances of unauthorized IPs, and if there is a discrepancy, a new one is formedS j +1 reference set and remember it in the set of reference sets of occurrences of an unauthorized IP, and if there is a match, remember the numbers of the reference sets to which it belongsi-th appearance of an unauthorized individual entrepreneur. Then they compare values received coincidence rateQ coincidence with threshold meaningQ match_threshold. and when the condition is metQ coincidence Q match_threshold blocki-th unauthorized IP, and generate an attack signal on the computer network, and if the condition is not met after the formation of a response packet of messages, they increase delay time for sending message packagest ass for a given time interval.
Наиболее близким по технической сущности к предлагаемому способу является «Способ защиты вычислительных сетей на основе адаптивного взаимодействия» по патенту РФ №2715165, класс G06F 21/00, G06F 12/14, H04L 9/32, опубл. 25.02.2020, бюл. № 6. Способ-прототип заключается в следующих действиях: предварительно запоминают N≥1 опорных идентификаторов санкционированных ИП, содержащих адреса отправителей и получателей пакетов сообщений, задают Р≥1 ложных адресов абонентов вычислительной сети, задают множество эталонных наборов появлений несанкционированных ИП, отличающихся друг от друга идентификаторами S эт={S j }, где j - заданное количество эталонных наборов соответствующих определенным типам компьютерных атак, в котором S j ={С r }, где С r - определенная последовательность появлений несанкционированного ИП, отличающихся друг от друга идентификаторами, принимают очередной пакет сообщений и определяют его легитимность, для чего выделяют из его заголовка идентификаторы, которые сравнивают с опорными идентификаторами и при их совпадении передают легитимный пакет сообщений получателю, после чего принимают очередной пакет сообщений и повторяют совокупность действий по определению его легитимности, а при отсутствии совпадения запоминают идентификаторы принятого несанкционированного ИП, присваивают ему очередной i-й идентификационный номер, затем передают пакет сообщения несанкционированного ИП на заданные ложные адреса абонентов вычислительной сети и идентифицируют несанкционированный ИП, для чего сравнивают идентификаторы появления К i принимаемого несанкционированного ИП со значениями С r в эталонных наборах S j появлений несанкционированных ИП и при их совпадении блокируют передачу пакета сообщений и переходят к приему очередного пакета сообщений, а при несовпадении формируют ответный пакет сообщений, отличающийся тем, что, в исходные данные дополнительно задают множество информационных ресурсов P доп имеющихся на каждом Р ложном адресе абонентов вычислительной сети, а так же задают начальное пороговое значение коэффициента совпадения Q нач совп порог и конечное пороговое значение коэффициента совпадения Q кон совп порог последовательности появлений несанкционированного ИП с соответствующим эталонным набором j, после передачи пакета сообщения несанкционированного ИП на заданные ложные адреса абонентов вычислительной сети выделяют из них идентификаторы появления К i несанкционированного ИП, и определяют для него требуемый информационный ресурс P доп, после чего предоставляют его для взаимодействия с соответствующим появлением несанкционированного ИП К i , затем вычисляют текущее значение коэффициента совпадения Q тек совп последовательности появлений несанкционированного ИП с эталонными наборами S эт, после чего сравнивают значения полученного коэффициента совпадения Q тек совп с начальным пороговым значением Q нач совп порог и при выполнении условия Q тек совп Q нач совп порог запоминают эталонный набор S j соответствующий текущей последовательности появлений несанкционированного ИП, а при невыполнении условия принимают очередной пакет сообщений для дальнейшего определения его легитимности, затем сравнивают значения полученного коэффициента совпадения Q тек совп с конечным пороговым значением Q кон совп порог и при выполнении условия Q тек совп Q кон совп порог блокируют i-ый несанкционированный ИП и формируют сигнал атаки на вычислительную сеть, а при невыполнении условия определяют последующее появление С i +1 несанкционированного ИП из запомненного эталонного набора S j и формируют для него ответный пакет сообщения, а затем передают его.The closest in technical essence to the proposed method is “Method for protecting computer networks based on adaptive interaction” according to RF patent No. 2715165, ClassG06F 21/00,G06F 12/14,H04L 9/32, publ. 02/25/2020, bulletin. No. 6. The prototype method consists of the following steps: first remember N≥1 reference identifiers of authorized PIs containing addresses of senders and recipients of message packages, set R≥1 false addresses of computer network subscribers, set set of reference sets of appearances of unauthorized IPs, differing from each other by identifiersS this={S j }, Wherej - a specified number of reference sets corresponding to certain types of computer attacks, in whichS j ={WITH r }, WhereWITH r - a certain sequence of appearances of an unauthorized IP, differing from each other in identifiers, receives the next packet of messages and determines its legitimacy, for which purpose identifiers are extracted from its header, which are compared with the reference identifiers and, if they match, the legitimate packet of messages is transmitted to the recipient, after which the next packet is received messages and repeat a set of actions to determine its legitimacy, and if there is no match, they remember the identifiers of the accepted unauthorized IP and assign it anotherith identification number, then transmit the message packet of the unauthorized IP to the given false addresses of subscribers of the computer network and identify the unauthorized IP, for which they compare spawn IDsTO i received unauthorized IP with valuesWITH r in reference setsS j appearances of unauthorized IPs and, if they coincide, are blocked transmission of a package of messages and proceed to receiving the next package of messages, and if there is a mismatch, they form a response package of messages, characterized in that a variety of information resources are additionally specified in the initial dataP extra available on everyR false address of computer network subscribers, and also set the initial threshold meaning coincidence rateQ beginning coincidence thresholdand final threshold meaning coincidence rateQ con coincidence thresholdsequence of appearances of an unauthorized IP with the corresponding reference setj, after transmitting a message packet from an unauthorized IP to the given false addresses of computer network subscribers, appearance identifiers are extracted from themTO i unauthorized individual entrepreneur, and determine the required information resource for itP extra, after which they provide it for interaction with the corresponding appearance of an unauthorized individual entrepreneurTO i , then calculate current meaning coincidence rateQ tech coincidence sequences of appearances of an unauthorized IP with reference setsS this, after which they compare values received coincidence rateQ tech coincidence with initial threshold meaningQ beginning coincidence threshold and when the condition is metQ tech coincidence Q beginning coincidence threshold remember the reference setS j corresponding to the current sequence of appearances of an unauthorized IP, and if the condition is not met, the next packet of messages is received to further determine its legitimacy, then compared values received coincidence rateQ tech coincidence with finite threshold meaningQ con coincidence threshold and when the condition is metQ tech coincidence Q con coincidence threshold blockith unauthorized IP and generate an attack signal on the computer network, and if the conditions are not met, the subsequent appearance ofWITH i +1 unauthorized IP from the stored reference setS j and form a response message packet for it, and then transmit it.
Техническая проблема заключается в низкой защищенности вычислительных сетей, обусловленная тем, что реализуемое взаимодействие ложных адресов вычислительной сети с несанкционированными ИП не учитывает возможность формирования определенной последовательности предоставления информационных ресурсов в виде легенды.The technical problem lies in the low security of computer networks, due to the fact that the implemented interaction of false computer network addresses with unauthorized IPs does not take into account the possibility of forming a certain sequence of providing information resources in the form of a legend.
Техническая проблема решается за счет реализации формирования определенной последовательности предоставления информационных ресурсов при взаимодействии с несанкционированными ИП.The technical problem is solved by implementing the formation of a certain sequence of providing information resources when interacting with unauthorized individual entrepreneurs.
Техническим результатом является повышение защищенности вычислительных сетей от деструктивных воздействий за счет реализации легендирования последовательности предоставления информационных ресурсов путем формирования достаточного множества легенд для взаимодействия с несанкционированными ИП с учетом сетевого расположения их источников.The technical result is to increase the security of computer networks from destructive influences by implementing legends for the sequence of provision of information resources by generating a sufficient number of legends for interaction with unauthorized IPs, taking into account the network location of their sources.
Техническая проблема решается тем, что в способе защиты вычислительных сетей на основе легендирования, заключающемся в том, что предварительно запоминают N≥1 опорных идентификаторов санкционированных ИП, содержащих адреса отправителей и получателей пакетов сообщений, задают Р≥1 ложных адресов абонентов вычислительной сети, принимают очередной пакет сообщений, и определяют его легитимность, для чего выделяют из его заголовка идентификаторы, которые сравнивают с опорными идентификаторами, и при их совпадении передают легитимный пакет сообщений получателю. После чего принимают очередной пакет сообщений и повторяют совокупность действий по определению его легитимности, а при отсутствии совпадения запоминают идентификаторы принятого несанкционированного ИП, присваивают ему очередной i-й идентификационный номер. Затем передают пакет сообщения несанкционированного ИП на заданные ложные адреса абонентов вычислительной сети. Дополнительно задают множество наборов информационных ресурсов Z = {Z l }, где l - заданное количество наборов информационных ресурсов, Z l ={V c }, где V c - определенная последовательность информационных ресурсов в конкретном наборе, имеющихся на каждом Р ложном адресе абонентов вычислительной сети, а также задают множество эталонных наборов соответствия идентификаторов несанкционированных ИП наборам информационных ресурсов R эт ={R j }, где j - заданное количество эталонных наборов соответствия идентификаторов несанкционированных ИП к определенному набору информационных ресурсов. После передачи пакета сообщения несанкционированного ИП на заданные ложные адреса абонентов вычислительной сети и выделения из них идентификаторов появления К i несанкционированного ИП сравнивают его со значениями в эталонных наборах R j соответствия идентификаторов несанкционированных ИП к определенному набору информационных ресурсов. При несовпадении определяют свободный набор информационных ресурсов Z l и предоставляют из него первый информационных ресурс V 1 для начала взаимодействия с соответствующим проявлению несанкционированного ИП К i . Также формируют новый R j +1 эталонный набор соответствия идентификаторов несанкционированных ИП к определенному набору информационных ресурсов и запоминают его во множестве эталонных наборов соответствия идентификаторов несанкционированных ИП наборам информационных ресурсов R эт. При совпадении определяют набор информационных ресурсов Z l соответствующий проявлением несанкционированного ИП К i . После чего определяют информационный ресурс V c + 1 следующий в последовательности информационных ресурсов соответствующего набора информационного ресурса Z l . Затем предоставляют его для взаимодействия с соответствующим проявлением несанкционированного ИП К i . После чего сравнивают значение предоставленного информационного ресурса V c + 1 с конечным значением информационного ресурса V С в данном наборе информационных ресурсов Z l . При выполнении условия V c + 1= V С блокируют i-ый несанкционированный ИП, и формируют сигнал атаки на вычислительную сеть. При невыполнении условия формируют от текущего информационного ресурса ответный пакет сообщения, а затем передают его.The technical problem is solved by the fact that in the method of protecting computer networks based on legend, which consists in pre-storing N≥1 reference identifiers of authorized PIs containing addresses of senders and recipients of message packages, set R≥1 false addresses of computer network subscribers, receive the next packet of messages, and determine its legitimacy, for which they extract identifiers from its header, which are compared with the reference identifiers, and if they match, they transmit the legitimate packet of messages to the recipient. After which they accept the next package of messages and repeat the set of actions to determine its legitimacy, and if there is no match, they remember the identifiers of the received unauthorized IP and assign it the nextith identification number. Then the message packet of the unauthorized IP is transmitted to the specified false addresses of computer network subscribers. Additionally, multiple sets of information resources are specifiedZ = {Z l }, Wherel - a given number of sets of information resources,Z l ={V c }, WhereV c - a certain sequence of information resources in a specific set available on eachR false addresses of computer network subscribers, and also set many reference sets of correspondence of identifiers of unauthorized individual entrepreneurs to sets of information resourcesR this ={R j }, Wherej - a specified number of reference sets of correspondence between identifiers of unauthorized individual entrepreneurs and a specific set of information resources. After transmitting a message packet from an unauthorized IP to the specified false addresses of computer network subscribers and identifying the appearance identifiers from themTO i unauthorized IP is compared with the values in the reference setsR j correspondence of identifiers of unauthorized individual entrepreneurs to a specific set of information resources. If there is a discrepancy, a free set of information resources is determinedZ l and provide the first information resource from itV 1 to begin interaction with the corresponding manifestation of an unauthorized individual entrepreneurTO i . Also form a newR j +1 a reference set of correspondence between identifiers of unauthorized individual entrepreneurs and a specific set of information resources and store it in a plurality of reference sets of correspondence between identifiers of unauthorized individual entrepreneurs and sets of information resourcesR this. If there is a match, a set of information resources is determinedZ l corresponding to the manifestation of an unauthorized individual entrepreneurTO i . Then the information resource is determinedV c + 1 next in the sequence of information resources of the corresponding set of information resourceZ l . Then they provide it for interaction with the corresponding manifestation of the unauthorized individual entrepreneurTO i . Then the value of the provided information resource is comparedV c + 1 with a finite value of the information resourceV WITH in this set of information resourcesZ l . When the condition is metV c + 1=V WITH blockith unauthorized IP, and generate an attack signal on the computer network. If the condition is not met, a response message packet is generated from the current information resource and then transmitted.
Перечисленная новая совокупность существенных признаков обеспечивает повышение защищенности вычислительных сетей за счет реализации легендирования последовательности предоставления информационных ресурсов путем формирования множества легенд для взаимодействия с несанкционированными ИП с учетом сетевого расположения их источников.The listed new set of essential features ensures increased security of computer networks by implementing legends for the sequence of provision of information resources by generating multiple legends for interaction with unauthorized individual entrepreneurs, taking into account the network location of their sources.
Проведенный анализ уровня техники позволил установить, что аналоги, характеризующиеся совокупностями признаков, тождественным всем признакам заявленного способа, отсутствуют. Следовательно, заявленные изобретения соответствуют условию патентоспособности «новизна».The analysis of the state of the art made it possible to establish that there are no analogues characterized by sets of features identical to all the features of the claimed method. Consequently, the claimed inventions meet the patentability condition of “novelty”.
Результаты поиска известных решений в данной и смежной областях техники с целью выявления признаков, совпадающих с отличительными от прототипов признаками заявленного изобретения, показали, что они не следуют явным образом из уровня техники. Из определенного заявителем уровня техники не выявлена известность влияния предусматриваемых существенными признаками заявленного изобретения на достижение указанного технического результата. Следовательно, заявленное изобретение соответствует условию патентоспособности «изобретательский уровень».The results of a search for known solutions in this and related fields of technology in order to identify features that coincide with the features of the claimed invention that are distinctive from the prototypes, showed that they do not follow explicitly from the prior art. The prior art determined by the applicant does not reveal the impact of the essential features of the claimed invention on achieving the specified technical result. Therefore, the claimed invention meets the patentability requirement of “inventive step”.
«Промышленная применимость» способа обусловлена наличием элементной базы, на основе которой могут быть выполнены устройства, реализующие данный способ с достижением указанного в изобретении результата.The “industrial applicability” of the method is due to the presence of an elemental base on the basis of which devices that implement this method can be made to achieve the result specified in the invention.
Заявленный способ поясняется чертежами, на которых показаны:The claimed method is illustrated by drawings, which show:
на фиг. 1 - схема, поясняющая построение рассматриваемой сети;in fig. 1 - diagram explaining the construction of the network under consideration;
на фиг. 2 - способ защиты вычислительных сетей на основе легендирования.in fig. 2 - method of protecting computer networks based on legends.
Реализацию заявленного способа можно пояснить на схеме вычислительной сети (ВС), показанной на фиг. 1.The implementation of the claimed method can be illustrated in the diagram of a computer network (CN), shown in Fig. 1.
Представленная ВС состоит из маршрутизатора 1, подключающего внутреннюю вычислительную сеть 2 к внешней сети 3. Внутренняя вычислительная сеть состоит из защищаемой локально-вычислительной сети (ЛВС) 4 и ложной ЛВС 5. В общем случае защищаемая ЛВС 4 представляет собой совокупность ПЭВМ 4.11-4.1 N , периферийного и коммуникационного оборудования 61, 62, объединенного физическими линиями связи. Все эти элементы определяются идентификаторами, в качестве которых в наиболее распространенном стеке протоколов TCP/IP используются сетевые адреса (IP-адреса). Ложная ЛВС 5 состоит из ПЭВМ 5.11-5.1 P имеющих ложные адреса, а также сетевых элементов, включающих совокупность информационных ресурсов 5.21-5.2 Z . Кроме того, имеется средство защиты 7 и база данных 8 наборов информационных ресурсов. При этом, в конкретном наборе представлена строго определенная последовательность информационных ресурсов, реализующая заданную легенду. Также, для реализации возможности учета сетевого расположения источников несанкционированных ИП имеется база данных 9 эталонных наборов соответствия идентификаторов несанкционированных ИП наборам информационных ресурсов. Данная база данных необходима для определения набора информационных ресурсов, которые ранее предоставлялись для взаимодействия с конкретными несанкционированными ИП, что позволяет при повторном взаимодействии использовать один и тот же набор информационных ресурсов.The presented computer consists of a router 1 connecting the internal computer network 2 to the external network 3. The internal computer network consists of a protected local area network (LAN) 4 and a false LAN 5. In the general case, the protected LAN 4 is a collection of PCs 4.1 1 -4.1 N , peripheral and communication equipment 6 1 , 6 2 , united by physical communication lines. All these elements are defined by identifiers, which in the most common TCP / IP protocol stack are network addresses ( IP addresses). False LAN 5 consists of PCs 5.1 1 -5.1 P having false addresses, as well as network elements, including a set of information resources 5.2 1 -5.2 Z . In addition, there is a security tool 7 and a database 8 of sets of information resources. At the same time, a specific set represents a strictly defined sequence of information resources that implements a given legend. Also, to implement the possibility of accounting for the network location of sources of unauthorized IP, there is a database of 9 reference sets of correspondence between identifiers of unauthorized IP and sets of information resources. This database is necessary to determine the set of information resources that were previously provided for interaction with specific unauthorized individual entrepreneurs, which allows the same set of information resources to be used during repeated interactions.
На фиг. 2 представлен способ защиты вычислительных сетей на основе легендирования, где приняты следующие обозначения:In fig. 2 presents a method for protecting computer networks based on legends, where the following notations are adopted:
N≥1 - база из опорных идентификаторов санкционированных ИП, содержащих адреса отправителей и получателей пакетов сообщений; N ≥1 - a base of reference identifiers of authorized IPs containing the addresses of senders and recipients of message packages;
P≥1 - база из ложных адресов абонентов вычислительной сети; P ≥1 - base of false addresses of computer network subscribers;
ID - идентификатор ИП; ID - IP identifier;
{ID o} - совокупность опорных идентификаторов санкционированных ИП;{ ID o } - a set of reference identifiers of authorized individual entrepreneurs;
ID нс - идентификатор несанкционированного ИП; ID ns - identifier of an unauthorized individual entrepreneur;
{ID нс} - совокупность идентификаторов ранее запомненного несанкционированного ИП;{ ID ns } - a set of identifiers of a previously stored unauthorized IP;
IP o - адрес отправителя, указанный в идентификаторе принятого пакета сообщений; IP o - sender address specified in the identifier of the received message package;
{IP oo} - совокупность адресов отправителей, указанных в опорных идентификаторах санкционированных ИП;{ IP oo } - a set of sender addresses specified in the reference identifiers of authorized IPs;
{IP л} - совокупность ложных адресов абонентов вычислительной сети;{ IP l } - a set of false addresses of computer network subscribers;
Z l - множество наборов информационных ресурсов; Z l - set of sets of information resources;
V c - определенная последовательность информационных ресурсов в конкретном наборе; V c - a certain sequence of information resources in a specific set;
R эт - множество эталонных наборов соответствия идентификаторов несанкционированных ИП наборам информационных ресурсов; R et - a set of reference sets of correspondence between identifiers of unauthorized individual entrepreneurs and sets of information resources;
R j - эталонный набор соответствия идентификаторов несанкционированных ИП к определенному набору информационных ресурсов. R j is a reference set of correspondence between identifiers of unauthorized individual entrepreneurs and a specific set of information resources.
При взаимодействии с источниками несанкционированных воздействий в современных системах защиты от компьютерных атак, в которых реализованы механизмы использования ложных адресов, то есть наличие ложной вычислительной сети, осуществляется имитация структуры и функционирования реальной вычислительной сети. Однако, более целесообразно применение подхода скрытия реальной вычислительной сети посредством легендирования.When interacting with sources of unauthorized influences in modern systems of protection against computer attacks, which implement mechanisms for using false addresses, that is, the presence of a false computer network, the structure and functioning of a real computer network is imitated. However, it is more appropriate to use the approach of hiding a real computer network through legendization.
Легендирование - это способ защиты информации от технических разведок, предусматривающий преднамеренное распространение и поддержание ложной информации о функциональном предназначении объекта защиты [Доронин А. И. Бизнес-разведка. - 2-е изд., перераб. и доп. - М.: Издательство «Ось-89», 2003, c. 264].Legend is a method of protecting information from technical intelligence, involving the deliberate dissemination and maintenance of false information about the functional purpose of the object of protection [Doronin A.I. Business intelligence. - 2nd ed., revised. and additional - M.: Publishing house "Os-89", 2003, p. 264].
При этом злоумышленнику предоставляется искаженные сведения о характере и предназначении защищаемой информации или объекта, когда их наличие полностью не скрывается, а маскируется действительное предназначение и характер действий [Домарев В.В. Безопасность информационных технологий. Методология создания систем защиты. - К.: ООО «ТИД «ДС», 2002, с.639].In this case, the attacker is provided with distorted information about the nature and purpose of the protected information or object, when their presence is not completely hidden, but the actual purpose and nature of the actions are masked [Domarev V.V. Information technology security. Methodology for creating protection systems. - K.: LLC “TID “DS”, 2002, p.639].
Таким образом, в заявленном способе предполагается реализация легендирования последовательности предоставления информационных ресурсов путем формирования множества легенд для взаимодействия с несанкционированными ИП. При этом легенда будет представлять собой строгую последовательность информационных ресурсов V c имитирующую облик объекта, существенно отличающийся от защищаемой вычислительной сети. Например, если защищаемая вычислительная сеть принадлежит финансовой организации, то формируемая ложная вычислительная сеть может имитировать социальную службу, организацию профессионального обучения или интернет-магазин. В этом случае злоумышленник либо фактически сразу откажется от реализации атаки из-за незаинтересованности к ложному объекту, что можно обозначить как политику «отпугивания» от реальной вычислительной сети, либо продолжит воздействия на ложный объект, но в этом случае можно считать, что реальная вычислительная сеть не является целью злоумышленника. При этом повышается вероятность защищенности вычислительной сети от внешних деструктивных воздействий.Thus, the claimed method assumes the implementation of legendization of the sequence of provision of information resources by generating multiple legends for interaction with unauthorized individual entrepreneurs. In this case, the legend will be a strict sequence of information resources V c simulating the appearance of an object that is significantly different from the protected computer network. For example, if the protected computer network belongs to a financial organization, then the generated false computer network can imitate a social service, a vocational training organization, or an online store. In this case, the attacker will either actually immediately refuse to carry out the attack due to disinterest in the false object, which can be described as a policy of “scaring away” from the real computer network, or will continue to influence the false object, but in this case it can be considered that the real computer network is not the attacker's target. At the same time, the likelihood of protecting the computer network from external destructive influences increases.
Первоначально задают исходные данные: опорные идентификаторы санкционированных ИП, содержащих адреса отправителей и получателей пакетов сообщений; ложные адреса абонентов вычислительной сети; множество наборов информационных ресурсов; множество эталонных наборов соответствия идентификаторов несанкционированных ИП наборам информационных ресурсов (блок 1, фиг. 2).Initially, the initial data is set: reference identifiers of authorized IPs containing the addresses of senders and recipients of message packages; false addresses of computer network subscribers; many sets of information resources; a set of reference sets of correspondence between identifiers of unauthorized individual entrepreneurs and sets of information resources (block 1, Fig. 2).
При этом, формируется множество наборов информационных ресурсов Z = {Z l }, где l - заданное количество наборов информационных ресурсов, Z l ={V c }, где V c - определенная последовательность информационных ресурсов в конкретном наборе. Каждый набор информационных ресурсов сформирован как структурно, так и функционально для поддержания разработанной легенды, то есть объекта, не относящегося к реальной вычислительной сети и имеющий другое предназначение, существенно отличающееся от защищаемой вычислительной сети.In this case, a set of sets of information resources is formed Z = { Z l }, where l is a given number of sets of information resources, Z l = { V c }, where V c is a certain sequence of information resources in a specific set. Each set of information resources is formed both structurally and functionally to support the developed legend, that is, an object that is not related to the real computer network and has a different purpose that is significantly different from the protected computer network.
Кроме того, формируется множество эталонных наборов соответствия идентификаторов несанкционированных ИП наборам информационных ресурсов R эт ={R j }, где j - заданное количество эталонных наборов соответствия идентификаторов несанкционированных ИП к определенному набору информационных ресурсов. То есть, каждому элементу K i , принадлежащему множеству несанкционированных ИП {ID нс}, поставлен в соответствие некоторый элемент Z l , принадлежащий множеству наборов информационных ресурсов Z, и говорят, что на множестве несанкционированных ИП {ID нс} задана некоторая функция R j со значениями на множестве наборов информационных ресурсов Z [Карнаков В.А. Лекции по линейной алгебре. Учебное пособие. - Иркутск 2016, с. 5]. Таким образом, эталонный набор соответствия идентификаторов несанкционированных ИП наборам информационных ресурсов формально можно записать как R j :K i →Z l .In addition, many reference sets of correspondence between identifiers of unauthorized individual entrepreneurs and sets of information resources R et are formed ={ R j }, where j is a given number of reference sets of correspondence between identifiers of unauthorized individual entrepreneurs and a specific set of information resources. That is, each element K i belonging to the set of unauthorized IP { ID ns } is associated with some element Z l belonging to the set of sets of information resources Z , and it is said that on the set of unauthorized IP { ID ns } some function R j with values on a set of sets of information resources Z [Karnakov V.A. Lectures on linear algebra. Tutorial. - Irkutsk 2016, p. 5]. Thus, the reference set of correspondence between identifiers of unauthorized individual entrepreneurs and sets of information resources can be formally written as R j : K i → Z l .
Далее принимают очередной пакет сообщений, определяют его легитимность и при несовпадении присваивают идентификатору ID пакета сообщений номер появления К i принимаемого несанкционированного ИПи передают данный пакет на ложную вычислительную сеть (блок 2-9, фиг. 2).Next, the next packet of messages is received, its legitimacy is determined, and if there is a discrepancy, the message packet ID is assigned the number of occurrence K i of the received unauthorized IP and this packet is transmitted to the false computer network (block 2-9, Fig. 2).
После передачи пакета сообщения несанкционированного ИП на заданные ложные адреса абонентов вычислительной сети и выделенияиз них идентификатора появления К i несанкционированного ИП сравнивают его со значениями в эталонных наборах R j соответствия идентификаторов несанкционированных ИП к определенному набору информационных ресурсов (блок 10, фиг. 2).After transmitting a message packet from an unauthorized IP to the specified false addresses of computer network subscribers and isolating the appearance identifier from themTO i unauthorized IP is compared with the values in the reference setsR j correspondence of identifiers of unauthorized individual entrepreneurs to a specific set of information resources (block 10, Fig. 2).
При этом осуществляется определение является ли появление К i несанкционированного ИП новым или данный несанкционированный ИП уже взаимодействует с ложным объектом или взаимодействие было ранее и имеется эталонный набор R j соответствия идентификаторов несанкционированных ИП к определенному набору информационных ресурсов с соответствующей записью R j : K i → Z l . Это позволяет для взаимодействия предоставлять злоумышленнику один и тот же набор информационных ресурсов описывающий легенду конкретного ложного объекта. Для реализации механизма определения соответствия идентификаторов несанкционированных ИП к определенному набору информационных ресурсов используется IP-адрес, однако при динамическом его формировании (динамические записи) возникнут сложности, связанные с предоставлением провайдером услуг доступа во внешней сети IP-адреса из ARP-сервера (свободного на момент обращения к серверу) [Олифер, В. Г. Компьютерные сети. Принципы, технологии, протоколы (5-е издание)./ Олифер, В. Г., Олифер Н. А. // - СПб. : Питер, 2016. 992 с.]. Для устранения этого недостатка предлагается осуществлять идентификацию не по полному IP-адресу, а по части IP-адреса достаточной для идентификации сегмента сети (сетевое расположение) относящегося к одному ARP-серверу, то есть одному и тому же провайдеру, что позволит предоставлять группе злоумышленников данного сегмента ложный объект с конкретно определенной легендой.In this case, it is determined whether the appearance of K i of an unauthorized IP is new or this unauthorized IP is already interacting with a false object or the interaction was previously and there is a reference set R j of correspondence of identifiers of unauthorized IP to a certain set of information resources with the corresponding record R j : K i → Z l . This allows interaction to provide the attacker with the same set of information resources describing the legend of a specific false object. To implement a mechanism for determining the correspondence of identifiers of unauthorized IPs to a specific set of information resources, an IP address is used, however, when it is dynamically generated (dynamic records), difficulties will arise associated with the service provider providing access to an external network IP address from an ARP server (free at the time access to the server) [Olifer, V. G. Computer networks. Principles, technologies, protocols (5th edition)./ Olifer, V. G., Olifer N. A. // - St. Petersburg. : Peter, 2016. 992 p.]. To eliminate this drawback, it is proposed to carry out identification not by the full IP address, but by a part of the IP address sufficient to identify a network segment (network location) related to the same ARP server, that is, the same provider, which will allow providing a group of attackers with this segment is a false object with a specifically defined legend.
В соответствии с существующим подходом IP-адрес состоит из двух логических частей - адреса сети и адреса узла в сети, при этом адрес сети определяется по маске [Олифер, В. Г. Компьютерные сети. Принципы, технологии, протоколы (5-е издание)./ Олифер, В. Г., Олифер Н. А. // - СПб. : Питер, 2016. 992 с.], что позволяет использовать это при сравнении идентификатора несанкционированного ИП с эталонными наборами R j . В этом случае злоумышленники, относящиеся к определенному сегменту (сетевое расположение) вне зависимости от периодичности воздействия (будет использован различный динамически сформированный IP-адрес) получат для взаимодействия один и тот же ложный объект, что не вызовет их подозрений, которые могли бы появиться при случайном изменении предоставляемого набора информационных ресурсов, и соответственно позволит избежать вскрытия используемых легенд.In accordance with the existing approach, the IP address consists of two logical parts - the network address and the address of the node in the network, while the network address is determined by the mask [Olifer, V. G. Computer networks. Principles, technologies, protocols (5th edition)./ Olifer, V. G., Olifer N. A. // - St. Petersburg. : Peter, 2016. 992 p.], which allows you to use this when comparing the identifier of an unauthorized individual entrepreneur with reference sets R j . In this case, attackers belonging to a specific segment (network location), regardless of the frequency of impact (a different dynamically generated IP address will be used), will receive the same false object for interaction, which will not arouse their suspicions, which could arise in case of accident. changing the provided set of information resources, and accordingly will avoid opening the used legends.
При совпадении идентификаторов несанкционированных ИП со значениями в эталонных наборах R j определяют набор информационных ресурсов Z l соответствующий проявлением несанкционированного ИП К i . После чего определяют информационный ресурс V c + 1 следующий в последовательности информационных ресурсов соответствующего набора информационного ресурса Z l . Затем предоставляют его для взаимодействия с соответствующим проявлением несанкционированного ИП К i (блоки 11-13, фиг. 2).If the identifiers of unauthorized IP coincide with the values in the reference sets R j , a set of information resources Z l is determined corresponding to the manifestation of the unauthorized IP K i . Then the information resource V c + 1 next in the sequence of information resources of the corresponding set of information resource Z l is determined. Then it is provided for interaction with the corresponding manifestation of the unauthorized IP K i (blocks 11-13, Fig. 2).
После чего сравнивают значение предоставленного информационного ресурса V c + 1 с конечным значением информационного ресурса V С в данном наборе информационных ресурсов Z l (блок 14, фиг. 2). Это позволяет последовательно задействовать набор информационного ресурса, который должен сформировать у злоумышленника достаточно полный информационный облик представленного ложного объекта.Then the value of the provided information resource V c + 1 is compared with the final value of the information resource V C in this set of information resources Z l (block 14, Fig. 2). This allows you to sequentially use a set of information resources, which should give the attacker a fairly complete information image of the presented false object.
При выполнении условия V c + 1= V С блокируют i-ый несанкционированный ИП, и формируют сигнал атаки на вычислительную сеть (блок 15, фиг. 2). При невыполнении условия формируют от текущего информационного ресурса ответный пакет сообщения, а затем передают его отправителю (блоки 19, 20, фиг. 2).When the condition V c + 1 = V C is met, the i -th unauthorized IP is blocked and an attack signal on the computer network is generated (block 15, Fig. 2). If the condition is not met, a response message packet is generated from the current information resource and then transmitted to the sender (blocks 19, 20, Fig. 2).
При несовпадении идентификаторов несанкционированных ИП со значениями в эталонных наборах R j определяют свободный набор информационных ресурсов Z l и предоставляют из него первый информационный ресурс V 1 для начала взаимодействия с соответствующим проявлением несанкционированного ИП К i . Также формируют новый R j +1 эталонный набор соответствия идентификаторов несанкционированных ИП к определенному набору информационных ресурсов и запоминают его во множестве эталонных наборов соответствия идентификаторов несанкционированных ИП наборам информационных ресурсов R эт (блоки 16-18, фиг. 2). Далее формируют от текущего информационного ресурса ответный пакет сообщения, а затем передают его отправителю (блоки 19, 20, фиг. 2).If the identifiers of unauthorized IPs do not match the values in the reference sets R j, a free set of information resources Z l is determined and the first information resource V 1 is provided from it to begin interaction with the corresponding manifestation of the unauthorized IP K i . A new R j +1 reference set of correspondence between identifiers of unauthorized IPs and a specific set of information resources is also formed and stored in a set of reference sets of correspondence between identifiers of unauthorized IPs and sets of information resources R fl (blocks 16-18, Fig. 2). Next, a response message packet is generated from the current information resource, and then transmitted to the sender (blocks 19, 20, Fig. 2).
Достижение технического результата поясняется следующим образом. В способе-прототипе при формировании информационного ресурса ложного объекта производится имитация функционирования реальной вычислительной сети, вследствие чего это заинтересует злоумышленника и позволит предоставить ему ложные данные, однако существует возможность, при которой в ходе взаимодействия злоумышленник определит элементы защищаемой вычислительной сети и в дальнейшем при развитии компьютерной атаки осуществит деструктивные воздействия на них, что приведет к существенному уменьшению защищенности вычислительной сети. В заявленном способе предполагается реализация легендирования последовательности предоставления информационных ресурсов путем формирования множества легенд для взаимодействия с несанкционированными ИП, за счет предоставления искаженных сведений о характере и предназначении защищаемого объекта, когда их наличие полностью не скрывается, а маскируется действительное предназначение и характер действий. При этом, легенда представляет собой строгую последовательность информационных ресурсов, имитирующую облик объекта, существенно отличающийся от защищаемой вычислительной сети. Например, если защищаемая вычислительная сеть принадлежит финансовой организации, то формируемая ложная вычислительная сеть может имитировать социальную службу, организацию профессионального обучения или интернет-магазин. В этом случае злоумышленник либо фактически сразу откажется от реализации атаки из-за незаинтересованности к ложному объекту, что можно обозначить как политику «отпугивания» от реальной вычислительной сети, либо продолжит воздействия на ложный объект, но в этом случае можно считать, что реальная вычислительная сеть не является целью злоумышленника.Achieving the technical result is explained as follows. In the prototype method, when forming an information resource of a false object, the functioning of a real computer network is imitated, as a result of which this will interest the attacker and will allow him to provide false data, however, there is a possibility in which during the interaction the attacker will determine the elements of the protected computer network and in the future with the development of the computer attacks will have destructive effects on them, which will lead to a significant decrease in the security of the computer network. The claimed method involves the implementation of legendization of the sequence of provision of information resources by generating multiple legends for interaction with unauthorized individual entrepreneurs, by providing distorted information about the nature and purpose of the protected object, when their presence is not completely hidden, but the actual purpose and nature of the actions are masked. At the same time, the legend is a strict sequence of information resources that imitates the appearance of an object that is significantly different from the protected computer network. For example, if the protected computer network belongs to a financial organization, then the generated false computer network can imitate a social service, a vocational training organization, or an online store. In this case, the attacker will either actually immediately refuse to carry out the attack due to disinterest in the false object, which can be described as a policy of “scaring away” from the real computer network, or will continue to influence the false object, but in this case it can be considered that the real computer network is not the attacker's target.
Кроме того, при организации взаимодействия со злоумышленником реализованы действия, которые позволяют предоставлять группе злоумышленников определенного сегмента, то есть с учетом их сетевого расположения, ложный объект с конкретно определенной легендой, что не вызовет их подозрений, которые могли бы появиться при случайном изменении предоставляемого набора информационных ресурсов, и соответственно позволит избежать вскрытия используемых легенд.In addition, when organizing interaction with an attacker, actions have been implemented that make it possible to provide a group of attackers of a certain segment, that is, taking into account their network location, a false object with a specifically defined legend, which will not arouse their suspicions, which could arise if the provided set of information is accidentally changed resources, and accordingly will avoid opening the used legends.
Таким образом, заявленный способ за счет реализации легендирования последовательности предоставления информационных ресурсов путем формирования множества легенд для взаимодействия с несанкционированными ИП с учетом сетевого расположения их источников позволяет повысить защищенность вычислительных сетей.Thus, the claimed method, by implementing legendization of the sequence of provision of information resources by generating multiple legends for interaction with unauthorized IPs, taking into account the network location of their sources, makes it possible to increase the security of computer networks.
Claims (1)
Publications (1)
Publication Number | Publication Date |
---|---|
RU2814463C1 true RU2814463C1 (en) | 2024-02-28 |
Family
ID=
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
RU2475836C1 (en) * | 2012-03-12 | 2013-02-20 | Федеральное государственное военное образовательное учреждение высшего профессионального образования "Военная академия связи имени маршала Советского Союза С.М. Буденного" Министерства обороны Российской Федерации | Method for protection of computer networks |
US8819818B2 (en) * | 2012-02-09 | 2014-08-26 | Harris Corporation | Dynamic computer network with variable identity parameters |
RU2715165C1 (en) * | 2019-10-23 | 2020-02-25 | Федеральное государственное казенное военное образовательное учреждение высшего образования Академия Федеральной службы охраны Российской Федерации | Method of protecting computer networks based on adaptive interaction |
CN111756712A (en) * | 2020-06-12 | 2020-10-09 | 广州锦行网络科技有限公司 | Method for forging IP address and preventing attack based on virtual network equipment |
US20230208811A1 (en) * | 2013-01-11 | 2023-06-29 | Centripetal Networks, Llc | Rule Swapping in a Packet Network |
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8819818B2 (en) * | 2012-02-09 | 2014-08-26 | Harris Corporation | Dynamic computer network with variable identity parameters |
RU2475836C1 (en) * | 2012-03-12 | 2013-02-20 | Федеральное государственное военное образовательное учреждение высшего профессионального образования "Военная академия связи имени маршала Советского Союза С.М. Буденного" Министерства обороны Российской Федерации | Method for protection of computer networks |
US20230208811A1 (en) * | 2013-01-11 | 2023-06-29 | Centripetal Networks, Llc | Rule Swapping in a Packet Network |
RU2715165C1 (en) * | 2019-10-23 | 2020-02-25 | Федеральное государственное казенное военное образовательное учреждение высшего образования Академия Федеральной службы охраны Российской Федерации | Method of protecting computer networks based on adaptive interaction |
CN111756712A (en) * | 2020-06-12 | 2020-10-09 | 广州锦行网络科技有限公司 | Method for forging IP address and preventing attack based on virtual network equipment |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN110113328B (en) | Software defined opportunistic network DDoS defense method based on block chain | |
CN111818031B (en) | Block chain based covert communication message security encoding method, system and medium | |
Zander et al. | Covert channels and countermeasures in computer network protocols [reprinted from ieee communications surveys and tutorials] | |
CN107566381A (en) | Equipment safety control method, apparatus and system | |
RU2475836C1 (en) | Method for protection of computer networks | |
CN109660539A (en) | It falls device identification method, device, electronic equipment and storage medium | |
KR20100075043A (en) | Management system for security control of irc and http botnet and method thereof | |
CN109120602B (en) | IPv6 attack tracing method | |
CN111181901A (en) | Abnormal flow detection device and abnormal flow detection method thereof | |
Luo et al. | Robust network covert communications based on TCP and enumerative combinatorics | |
Saravanan et al. | A new framework to alleviate DDoS vulnerabilities in cloud computing. | |
RU2690749C1 (en) | Method of protecting computer networks | |
CN110266650A (en) | The recognition methods of Conpot industry control honey jar | |
RU2307392C1 (en) | Method (variants) for protecting computer networks | |
CN112738002A (en) | Technology for building industrial control honey net based on virtuality and reality combination | |
Shamsolmoali et al. | C2DF: High rate DDOS filtering method in cloud computing | |
RU2814463C1 (en) | Method for protection of computer networks based on legendizing | |
Kotenko | Chapter Agent-Based Modeling and Simulation of Network Infrastructure Cyber-Attacks and Cooperative Defense Mechanisms | |
RU2586840C1 (en) | Method of processing network traffic datagrams for hiding corresponding pairs of subscribers of information-telecommunication systems | |
RU2674802C1 (en) | Method of computer networks protection | |
Caulkins et al. | A dynamic data mining technique for intrusion detection systems | |
Prasad et al. | IP traceback for flooding attacks on Internet threat monitors (ITM) using Honeypots | |
CN116781315A (en) | Attack detection method based on EGD protocol | |
RU2686023C1 (en) | Method of protecting computer networks | |
RU2680038C1 (en) | Method of computer networks protection |