RU2814463C1 - Method for protection of computer networks based on legendizing - Google Patents

Method for protection of computer networks based on legendizing Download PDF

Info

Publication number
RU2814463C1
RU2814463C1 RU2023120277A RU2023120277A RU2814463C1 RU 2814463 C1 RU2814463 C1 RU 2814463C1 RU 2023120277 A RU2023120277 A RU 2023120277A RU 2023120277 A RU2023120277 A RU 2023120277A RU 2814463 C1 RU2814463 C1 RU 2814463C1
Authority
RU
Russia
Prior art keywords
information
unauthorized
identifiers
sets
information resources
Prior art date
Application number
RU2023120277A
Other languages
Russian (ru)
Inventor
Владимир Владимирович Бухарин
Сергей Юрьевич Карайчев
Александр Сергеевич Никитин
Максим Сергеевич Курчатов
Михаил Викторович Королёв
Павел Анатольевич Сысоев
Дмитрий Геннадьевич Мельников
Original Assignee
Федеральное государственное казенное военное образовательное учреждение высшего образования Академия Федеральной службы охраны Российской Федерации
Filing date
Publication date
Application filed by Федеральное государственное казенное военное образовательное учреждение высшего образования Академия Федеральной службы охраны Российской Федерации filed Critical Федеральное государственное казенное военное образовательное учреждение высшего образования Академия Федеральной службы охраны Российской Федерации
Application granted granted Critical
Publication of RU2814463C1 publication Critical patent/RU2814463C1/en

Links

Abstract

FIELD: physics; providing security of communication networks.
SUBSTANCE: invention relates to communication networks security and can be used in systems for detecting computer attacks in order to quickly detect and counteract unauthorized actions in computer networks. Result is ensured by implementing the legendizing of the sequence of providing information resources by generating a sufficient set of legends for interacting with unauthorized information flows taking into account network location of their sources.
EFFECT: higher security of computer networks.
1 cl, 2 dwg

Description

Изобретение относится к области обеспечения безопасности сетей связи и может быть использовано в системах обнаружения компьютерных атак с целью повышения защищенности вычислительных сетей от деструктивных воздействий.The invention relates to the field of ensuring the security of communication networks and can be used in computer attack detection systems in order to increase the security of computer networks from destructive influences.

Известен «Способ контроля информационных потоков в цифровых сетях связи» по патенту РФ №2267154, класс G06F 15/40, заявл. 13.07.2004, заключающийся в том, что предварительно задают N≥1 опорных идентификаторов санкционированных информационных потоков (ИП), содержащих адреса отправителей и получателей пакетов сообщений, принимают из канала связи пакет сообщений, выделяют из заголовка принятого пакета сообщений идентификатор ИП, сравнивают выделенный идентификатор с предварительно заданными опорными идентификаторами санкционированных ИП и при их совпадении передают пакет сообщений получателю, а при их несовпадении сравнивают адрес отправителя, указанный в идентификаторе принятого пакета сообщений с адресами отправителей, указанными в опорных идентификаторах санкционированных ИП.Known “Method for monitoring information flows in digital communication networks” according to RF patent No. 2267154, ClassG06F 15/40, app. 07/13/2004, which consists in pre-settingN≥1 reference identifiers of authorized information flows (IPs) containing the addresses of senders and recipients of message packages, receive a message package from the communication channel, extract an PI identifier from the header of the received message package, compare the selected identifier with predefined reference identifiers of authorized PIs and, if they match, transmit message package to the recipient, and if they do not match, the sender address specified in the identifier of the received message package is compared with the sender addresses specified in the reference identifiers of authorized IPs.

Известен также «Способ защиты вычислительных сетей» по патенту РФ №2307392, класс G06F 21/00, H04L 9/32, заявл. 02.05.2006, заключающийся в том, что предварительно задают Р≥1 ложных адресов абонентов вычислительной сети, эталоны идентификаторов типа протоколов взаимодействия, врем задержки отправки пакетов сообщений t зад, а при несовпадении выделенных идентификаторов очередного принятого пакета с идентификаторами ранее запомненного i-го несанкционированного ИП сравнивают адрес получателя в принятом пакете сообщений с предварительно заданными ложными адресами абонентов вычислительной сети, и при их несовпадении, а так же при выполнении условия K i >K max , блокируют передачу пакета сообщений и переходят к приему очередного пакета сообщений, а при несовпадении адреса отправителя в принятом пакете сообщений с адресами отправителей опорных идентификаторов санкционированных ИП или совпадении адреса получателя в принятом пакете сообщений с адресами получателей опорных идентификаторов санкционированных ИП, или его совпадении с предварительно заданными ложными адресами абонентов вычислительной сети запоминают идентификатор очередного несанкционированного ИП, увеличивают на единицу число его появлений К i и в случае невыполнении условия К i К max , формируют ответный пакет сообщений, соответствующий идентифицируемому протоколу взаимодействия, а затем через заданное время задержки отправки пакетов сообщений t зад снижают скорость передачи сформированного пакета сообщений и передают его отправителю, после чего принимают из канала связи очередной пакет сообщений.Also known is the “Method for protecting computer networks” according to RF patent No. 2307392, ClassG06F 21/00,H04L 9/32, app. 05/02/2006, which consists in pre-settingR≥1 false addresses of computer network subscribers, standards of identifiers of the type of interaction protocols, delay time for sending message packetst ass, and if the selected identifiers of the next received packet do not match the identifiers of the previously rememberediof the th unauthorized individual entrepreneur, the address of the recipient in the received packet of messages is compared with pre-specified false addresses of subscribers of the computer network, and if they do not match, as well as if the condition is metK i >K max , block the transmission of a package of messages and proceed to receiving the next package of messages, and if the sender's address in the received package of messages does not match the addresses of the senders of the reference identifiers of authorized IPs or the recipient's address in the received package of messages matches the addresses of recipients of the reference identifiers of authorized IPs, or it coincides with the previously using the given false addresses of computer network subscribers, they remember the identifier of the next unauthorized IP, increase the number of its appearances by oneTO i and if the condition is not metTO i TO max , form a response message packet corresponding to the identified interaction protocol, and then, after a specified delay time, send message packetst ass they reduce the transmission speed of the generated message package and transmit it to the sender, after which they receive the next message package from the communication channel.

Известен также «Способ защиты вычислительных сетей» по патенту РФ №2475836, класс G06F 21/00, H04L 9/32, опубл. 20.02.2016, бюл. № 5, заключающийся в том, что задают множество эталонных наборов появлений несанкционированных ИП отличающихся друг от друга идентификаторами S эт={S j }, где j - заданное количество эталонных наборов соответствующих определенным типам компьютерных атак, S j ={С r }, где С r - определенная последовательность появлений несанкционированного ИП, отличающихся друг от друга идентификаторами, а также задают пороговое значение коэффициента совпадения Q совп_порог последовательности появлений несанкционированного ИП с соответствующим эталонным набором. После выделения идентификаторов из заголовка очередного принятого пакета сообщений и их сравнения с опорными идентификаторами, при несовпадении адреса получателя в принятом пакете сообщений несанкционированного ИП с заданными ложными адресами абонентов вычислительной сети дополнительно добавляют его в список предварительно заданных ложных адресов абонентов вычислительной сети. Затем передают пакет сообщения несанкционированного ИП на заданные ложные адреса абонентов вычислительной сети, и идентифицируют несанкционированный ИП. Для чего сравнивают идентификаторы появления К i принимаемого ИП со значениями С r в эталонных наборах S j появлений несанкционированных ИП, и при несовпадении формируют новый S j +1 эталонный набор и запоминают его во множестве эталонных наборов появлений несанкционированного ИП, а при совпадении запоминают номера эталонных наборов, которым принадлежит i-ое появление несанкционированного ИП. После чего сравнивают значения полученного коэффициента совпадения Q совп с пороговым значением Q совп_порог. и при выполнении условия Q совп Q совп_порог блокируют i-ый несанкционированный ИП, и формируют сигнал атаки на вычислительную сеть, а при невыполнении условия после формирования ответного пакета сообщений увеличивают время задержки отправки пакетов сообщений t зад на заданный интервал времени .Also known is the “Method for protecting computer networks” according to RF patent No. 2475836, ClassG06F 21/00,H04L 9/32, publ. 02/20/2016, bulletin. No. 5, which is that they ask set of reference sets of occurrences of unauthorized IPs with different identifiersS this={S j }, Wherej - a specified number of reference sets corresponding to certain types of computer attacks,S j ={WITH r }, Where WITH r - a certain sequence of appearances of an unauthorized IP, differing from each other by identifiers, and also set threshold meaning coincidence rateQ match_threshold sequence of appearances of an unauthorized IP with the corresponding reference set. After extracting identifiers from the header of the next received message package and comparing them with the reference identifiers, if the recipient's address in the received message package of an unauthorized individual entrepreneur does not match with the specified false addresses of computer network subscribers, it is additionally added to the list of predefined false addresses of computer network subscribers. Then the message package of the unauthorized IP is transmitted to the specified false addresses of subscribers of the computer network, and the unauthorized IP is identified. Why compare spawn IDsTO i received IP with valuesWITH r in reference setsS j appearances of unauthorized IPs, and if there is a discrepancy, a new one is formedS j +1 reference set and remember it in the set of reference sets of occurrences of an unauthorized IP, and if there is a match, remember the numbers of the reference sets to which it belongsi-th appearance of an unauthorized individual entrepreneur. Then they compare values received coincidence rateQ coincidence with threshold meaningQ match_threshold. and when the condition is metQ coincidence Q match_threshold blocki-th unauthorized IP, and generate an attack signal on the computer network, and if the condition is not met after the formation of a response packet of messages, they increase delay time for sending message packagest ass for a given time interval.

Наиболее близким по технической сущности к предлагаемому способу является «Способ защиты вычислительных сетей на основе адаптивного взаимодействия» по патенту РФ №2715165, класс G06F 21/00, G06F 12/14, H04L 9/32, опубл. 25.02.2020, бюл. № 6. Способ-прототип заключается в следующих действиях: предварительно запоминают N≥1 опорных идентификаторов санкционированных ИП, содержащих адреса отправителей и получателей пакетов сообщений, задают Р≥1 ложных адресов абонентов вычислительной сети, задают множество эталонных наборов появлений несанкционированных ИП, отличающихся друг от друга идентификаторами S эт={S j }, где j - заданное количество эталонных наборов соответствующих определенным типам компьютерных атак, в котором S j ={С r }, где С r - определенная последовательность появлений несанкционированного ИП, отличающихся друг от друга идентификаторами, принимают очередной пакет сообщений и определяют его легитимность, для чего выделяют из его заголовка идентификаторы, которые сравнивают с опорными идентификаторами и при их совпадении передают легитимный пакет сообщений получателю, после чего принимают очередной пакет сообщений и повторяют совокупность действий по определению его легитимности, а при отсутствии совпадения запоминают идентификаторы принятого несанкционированного ИП, присваивают ему очередной i-й идентификационный номер, затем передают пакет сообщения несанкционированного ИП на заданные ложные адреса абонентов вычислительной сети и идентифицируют несанкционированный ИП, для чего сравнивают идентификаторы появления К i принимаемого несанкционированного ИП со значениями С r в эталонных наборах S j появлений несанкционированных ИП и при их совпадении блокируют передачу пакета сообщений и переходят к приему очередного пакета сообщений, а при несовпадении формируют ответный пакет сообщений, отличающийся тем, что, в исходные данные дополнительно задают множество информационных ресурсов P доп имеющихся на каждом Р ложном адресе абонентов вычислительной сети, а так же задают начальное пороговое значение коэффициента совпадения Q нач  совп порог и конечное пороговое значение коэффициента совпадения Q кон  совп порог последовательности появлений несанкционированного ИП с соответствующим эталонным набором j, после передачи пакета сообщения несанкционированного ИП на заданные ложные адреса абонентов вычислительной сети выделяют из них идентификаторы появления К i несанкционированного ИП, и определяют для него требуемый информационный ресурс P доп, после чего предоставляют его для взаимодействия с соответствующим появлением несанкционированного ИП К i , затем вычисляют текущее значение коэффициента совпадения Q тек  совп последовательности появлений несанкционированного ИП с эталонными наборами S эт, после чего сравнивают значения полученного коэффициента совпадения Q тек  совп с начальным пороговым значением Q нач  совп порог и при выполнении условия Q тек  совп Q нач  совп порог запоминают эталонный набор S j соответствующий текущей последовательности появлений несанкционированного ИП, а при невыполнении условия принимают очередной пакет сообщений для дальнейшего определения его легитимности, затем сравнивают значения полученного коэффициента совпадения Q тек  совп с конечным пороговым значением Q кон  совп порог и при выполнении условия Q тек  совп Q кон  совп порог блокируют i-ый несанкционированный ИП и формируют сигнал атаки на вычислительную сеть, а при невыполнении условия определяют последующее появление С i +1 несанкционированного ИП из запомненного эталонного набора S j и формируют для него ответный пакет сообщения, а затем передают его.The closest in technical essence to the proposed method is “Method for protecting computer networks based on adaptive interaction” according to RF patent No. 2715165, ClassG06F 21/00,G06F 12/14,H04L 9/32, publ. 02/25/2020, bulletin. No. 6. The prototype method consists of the following steps: first remember N≥1 reference identifiers of authorized PIs containing addresses of senders and recipients of message packages, set R≥1 false addresses of computer network subscribers, set set of reference sets of appearances of unauthorized IPs, differing from each other by identifiersS this={S j }, Wherej - a specified number of reference sets corresponding to certain types of computer attacks, in whichS j ={WITH r }, WhereWITH r - a certain sequence of appearances of an unauthorized IP, differing from each other in identifiers, receives the next packet of messages and determines its legitimacy, for which purpose identifiers are extracted from its header, which are compared with the reference identifiers and, if they match, the legitimate packet of messages is transmitted to the recipient, after which the next packet is received messages and repeat a set of actions to determine its legitimacy, and if there is no match, they remember the identifiers of the accepted unauthorized IP and assign it anotherith identification number, then transmit the message packet of the unauthorized IP to the given false addresses of subscribers of the computer network and identify the unauthorized IP, for which they compare spawn IDsTO i received unauthorized IP with valuesWITH r in reference setsS j appearances of unauthorized IPs and, if they coincide, are blocked transmission of a package of messages and proceed to receiving the next package of messages, and if there is a mismatch, they form a response package of messages, characterized in that a variety of information resources are additionally specified in the initial dataP extra available on everyR false address of computer network subscribers, and also set the initial threshold meaning coincidence rateQ beginning coincidence thresholdand final threshold meaning coincidence rateQ con coincidence thresholdsequence of appearances of an unauthorized IP with the corresponding reference setj, after transmitting a message packet from an unauthorized IP to the given false addresses of computer network subscribers, appearance identifiers are extracted from themTO i unauthorized individual entrepreneur, and determine the required information resource for itP extra, after which they provide it for interaction with the corresponding appearance of an unauthorized individual entrepreneurTO i , then calculate current meaning coincidence rateQ tech coincidence sequences of appearances of an unauthorized IP with reference setsS this, after which they compare values received coincidence rateQ tech coincidence with initial threshold meaningQ beginning coincidence threshold and when the condition is metQ tech coincidence Q beginning coincidence threshold remember the reference setS j corresponding to the current sequence of appearances of an unauthorized IP, and if the condition is not met, the next packet of messages is received to further determine its legitimacy, then compared values received coincidence rateQ tech coincidence with finite threshold meaningQ con coincidence threshold and when the condition is metQ tech coincidence Q con coincidence threshold blockith unauthorized IP and generate an attack signal on the computer network, and if the conditions are not met, the subsequent appearance ofWITH i +1 unauthorized IP from the stored reference setS j and form a response message packet for it, and then transmit it.

Техническая проблема заключается в низкой защищенности вычислительных сетей, обусловленная тем, что реализуемое взаимодействие ложных адресов вычислительной сети с несанкционированными ИП не учитывает возможность формирования определенной последовательности предоставления информационных ресурсов в виде легенды.The technical problem lies in the low security of computer networks, due to the fact that the implemented interaction of false computer network addresses with unauthorized IPs does not take into account the possibility of forming a certain sequence of providing information resources in the form of a legend.

Техническая проблема решается за счет реализации формирования определенной последовательности предоставления информационных ресурсов при взаимодействии с несанкционированными ИП.The technical problem is solved by implementing the formation of a certain sequence of providing information resources when interacting with unauthorized individual entrepreneurs.

Техническим результатом является повышение защищенности вычислительных сетей от деструктивных воздействий за счет реализации легендирования последовательности предоставления информационных ресурсов путем формирования достаточного множества легенд для взаимодействия с несанкционированными ИП с учетом сетевого расположения их источников.The technical result is to increase the security of computer networks from destructive influences by implementing legends for the sequence of provision of information resources by generating a sufficient number of legends for interaction with unauthorized IPs, taking into account the network location of their sources.

Техническая проблема решается тем, что в способе защиты вычислительных сетей на основе легендирования, заключающемся в том, что предварительно запоминают N≥1 опорных идентификаторов санкционированных ИП, содержащих адреса отправителей и получателей пакетов сообщений, задают Р≥1 ложных адресов абонентов вычислительной сети, принимают очередной пакет сообщений, и определяют его легитимность, для чего выделяют из его заголовка идентификаторы, которые сравнивают с опорными идентификаторами, и при их совпадении передают легитимный пакет сообщений получателю. После чего принимают очередной пакет сообщений и повторяют совокупность действий по определению его легитимности, а при отсутствии совпадения запоминают идентификаторы принятого несанкционированного ИП, присваивают ему очередной i-й идентификационный номер. Затем передают пакет сообщения несанкционированного ИП на заданные ложные адреса абонентов вычислительной сети. Дополнительно задают множество наборов информационных ресурсов Z = {Z l }, где l - заданное количество наборов информационных ресурсов, Z l ={V c }, где V c - определенная последовательность информационных ресурсов в конкретном наборе, имеющихся на каждом Р ложном адресе абонентов вычислительной сети, а также задают множество эталонных наборов соответствия идентификаторов несанкционированных ИП наборам информационных ресурсов R эт ={R j }, где j - заданное количество эталонных наборов соответствия идентификаторов несанкционированных ИП к определенному набору информационных ресурсов. После передачи пакета сообщения несанкционированного ИП на заданные ложные адреса абонентов вычислительной сети и выделения из них идентификаторов появления К i несанкционированного ИП сравнивают его со значениями в эталонных наборах R j соответствия идентификаторов несанкционированных ИП к определенному набору информационных ресурсов. При несовпадении определяют свободный набор информационных ресурсов Z l и предоставляют из него первый информационных ресурс V 1 для начала взаимодействия с соответствующим проявлению несанкционированного ИП К i . Также формируют новый R j +1 эталонный набор соответствия идентификаторов несанкционированных ИП к определенному набору информационных ресурсов и запоминают его во множестве эталонных наборов соответствия идентификаторов несанкционированных ИП наборам информационных ресурсов R эт. При совпадении определяют набор информационных ресурсов Z l соответствующий проявлением несанкционированного ИП К i . После чего определяют информационный ресурс V c + 1 следующий в последовательности информационных ресурсов соответствующего набора информационного ресурса Z l . Затем предоставляют его для взаимодействия с соответствующим проявлением несанкционированного ИП К i . После чего сравнивают значение предоставленного информационного ресурса V c + 1 с конечным значением информационного ресурса V С в данном наборе информационных ресурсов Z l . При выполнении условия V c + 1= V С блокируют i-ый несанкционированный ИП, и формируют сигнал атаки на вычислительную сеть. При невыполнении условия формируют от текущего информационного ресурса ответный пакет сообщения, а затем передают его.The technical problem is solved by the fact that in the method of protecting computer networks based on legend, which consists in pre-storing N≥1 reference identifiers of authorized PIs containing addresses of senders and recipients of message packages, set R≥1 false addresses of computer network subscribers, receive the next packet of messages, and determine its legitimacy, for which they extract identifiers from its header, which are compared with the reference identifiers, and if they match, they transmit the legitimate packet of messages to the recipient. After which they accept the next package of messages and repeat the set of actions to determine its legitimacy, and if there is no match, they remember the identifiers of the received unauthorized IP and assign it the nextith identification number. Then the message packet of the unauthorized IP is transmitted to the specified false addresses of computer network subscribers. Additionally, multiple sets of information resources are specifiedZ = {Z l }, Wherel - a given number of sets of information resources,Z l ={V c }, WhereV c - a certain sequence of information resources in a specific set available on eachR false addresses of computer network subscribers, and also set many reference sets of correspondence of identifiers of unauthorized individual entrepreneurs to sets of information resourcesR this ={R j }, Wherej - a specified number of reference sets of correspondence between identifiers of unauthorized individual entrepreneurs and a specific set of information resources. After transmitting a message packet from an unauthorized IP to the specified false addresses of computer network subscribers and identifying the appearance identifiers from themTO i unauthorized IP is compared with the values in the reference setsR j correspondence of identifiers of unauthorized individual entrepreneurs to a specific set of information resources. If there is a discrepancy, a free set of information resources is determinedZ l and provide the first information resource from itV 1 to begin interaction with the corresponding manifestation of an unauthorized individual entrepreneurTO i . Also form a newR j +1 a reference set of correspondence between identifiers of unauthorized individual entrepreneurs and a specific set of information resources and store it in a plurality of reference sets of correspondence between identifiers of unauthorized individual entrepreneurs and sets of information resourcesR this. If there is a match, a set of information resources is determinedZ l corresponding to the manifestation of an unauthorized individual entrepreneurTO i . Then the information resource is determinedV c + 1 next in the sequence of information resources of the corresponding set of information resourceZ l . Then they provide it for interaction with the corresponding manifestation of the unauthorized individual entrepreneurTO i . Then the value of the provided information resource is comparedV c + 1 with a finite value of the information resourceV WITH in this set of information resourcesZ l . When the condition is metV c + 1=V WITH blockith unauthorized IP, and generate an attack signal on the computer network. If the condition is not met, a response message packet is generated from the current information resource and then transmitted.

Перечисленная новая совокупность существенных признаков обеспечивает повышение защищенности вычислительных сетей за счет реализации легендирования последовательности предоставления информационных ресурсов путем формирования множества легенд для взаимодействия с несанкционированными ИП с учетом сетевого расположения их источников.The listed new set of essential features ensures increased security of computer networks by implementing legends for the sequence of provision of information resources by generating multiple legends for interaction with unauthorized individual entrepreneurs, taking into account the network location of their sources.

Проведенный анализ уровня техники позволил установить, что аналоги, характеризующиеся совокупностями признаков, тождественным всем признакам заявленного способа, отсутствуют. Следовательно, заявленные изобретения соответствуют условию патентоспособности «новизна».The analysis of the state of the art made it possible to establish that there are no analogues characterized by sets of features identical to all the features of the claimed method. Consequently, the claimed inventions meet the patentability condition of “novelty”.

Результаты поиска известных решений в данной и смежной областях техники с целью выявления признаков, совпадающих с отличительными от прототипов признаками заявленного изобретения, показали, что они не следуют явным образом из уровня техники. Из определенного заявителем уровня техники не выявлена известность влияния предусматриваемых существенными признаками заявленного изобретения на достижение указанного технического результата. Следовательно, заявленное изобретение соответствует условию патентоспособности «изобретательский уровень».The results of a search for known solutions in this and related fields of technology in order to identify features that coincide with the features of the claimed invention that are distinctive from the prototypes, showed that they do not follow explicitly from the prior art. The prior art determined by the applicant does not reveal the impact of the essential features of the claimed invention on achieving the specified technical result. Therefore, the claimed invention meets the patentability requirement of “inventive step”.

«Промышленная применимость» способа обусловлена наличием элементной базы, на основе которой могут быть выполнены устройства, реализующие данный способ с достижением указанного в изобретении результата.The “industrial applicability” of the method is due to the presence of an elemental base on the basis of which devices that implement this method can be made to achieve the result specified in the invention.

Заявленный способ поясняется чертежами, на которых показаны:The claimed method is illustrated by drawings, which show:

на фиг. 1 - схема, поясняющая построение рассматриваемой сети;in fig. 1 - diagram explaining the construction of the network under consideration;

на фиг. 2 - способ защиты вычислительных сетей на основе легендирования.in fig. 2 - method of protecting computer networks based on legends.

Реализацию заявленного способа можно пояснить на схеме вычислительной сети (ВС), показанной на фиг. 1.The implementation of the claimed method can be illustrated in the diagram of a computer network (CN), shown in Fig. 1.

Представленная ВС состоит из маршрутизатора 1, подключающего внутреннюю вычислительную сеть 2 к внешней сети 3. Внутренняя вычислительная сеть состоит из защищаемой локально-вычислительной сети (ЛВС) 4 и ложной ЛВС 5. В общем случае защищаемая ЛВС 4 представляет собой совокупность ПЭВМ 4.11-4.1 N , периферийного и коммуникационного оборудования 61, 62, объединенного физическими линиями связи. Все эти элементы определяются идентификаторами, в качестве которых в наиболее распространенном стеке протоколов TCP/IP используются сетевые адреса (IP-адреса). Ложная ЛВС 5 состоит из ПЭВМ 5.11-5.1 P имеющих ложные адреса, а также сетевых элементов, включающих совокупность информационных ресурсов 5.21-5.2 Z . Кроме того, имеется средство защиты 7 и база данных 8 наборов информационных ресурсов. При этом, в конкретном наборе представлена строго определенная последовательность информационных ресурсов, реализующая заданную легенду. Также, для реализации возможности учета сетевого расположения источников несанкционированных ИП имеется база данных 9 эталонных наборов соответствия идентификаторов несанкционированных ИП наборам информационных ресурсов. Данная база данных необходима для определения набора информационных ресурсов, которые ранее предоставлялись для взаимодействия с конкретными несанкционированными ИП, что позволяет при повторном взаимодействии использовать один и тот же набор информационных ресурсов.The presented computer consists of a router 1 connecting the internal computer network 2 to the external network 3. The internal computer network consists of a protected local area network (LAN) 4 and a false LAN 5. In the general case, the protected LAN 4 is a collection of PCs 4.1 1 -4.1 N , peripheral and communication equipment 6 1 , 6 2 , united by physical communication lines. All these elements are defined by identifiers, which in the most common TCP / IP protocol stack are network addresses ( IP addresses). False LAN 5 consists of PCs 5.1 1 -5.1 P having false addresses, as well as network elements, including a set of information resources 5.2 1 -5.2 Z . In addition, there is a security tool 7 and a database 8 of sets of information resources. At the same time, a specific set represents a strictly defined sequence of information resources that implements a given legend. Also, to implement the possibility of accounting for the network location of sources of unauthorized IP, there is a database of 9 reference sets of correspondence between identifiers of unauthorized IP and sets of information resources. This database is necessary to determine the set of information resources that were previously provided for interaction with specific unauthorized individual entrepreneurs, which allows the same set of information resources to be used during repeated interactions.

На фиг. 2 представлен способ защиты вычислительных сетей на основе легендирования, где приняты следующие обозначения:In fig. 2 presents a method for protecting computer networks based on legends, where the following notations are adopted:

N≥1 - база из опорных идентификаторов санкционированных ИП, содержащих адреса отправителей и получателей пакетов сообщений; N ≥1 - a base of reference identifiers of authorized IPs containing the addresses of senders and recipients of message packages;

P≥1 - база из ложных адресов абонентов вычислительной сети; P ≥1 - base of false addresses of computer network subscribers;

ID - идентификатор ИП; ID - IP identifier;

{ID o} - совокупность опорных идентификаторов санкционированных ИП;{ ID o } - a set of reference identifiers of authorized individual entrepreneurs;

ID нс - идентификатор несанкционированного ИП; ID ns - identifier of an unauthorized individual entrepreneur;

{ID нс} - совокупность идентификаторов ранее запомненного несанкционированного ИП;{ ID ns } - a set of identifiers of a previously stored unauthorized IP;

IP o - адрес отправителя, указанный в идентификаторе принятого пакета сообщений; IP o - sender address specified in the identifier of the received message package;

{IP oo} - совокупность адресов отправителей, указанных в опорных идентификаторах санкционированных ИП;{ IP oo } - a set of sender addresses specified in the reference identifiers of authorized IPs;

{IP л} - совокупность ложных адресов абонентов вычислительной сети;{ IP l } - a set of false addresses of computer network subscribers;

Z l - множество наборов информационных ресурсов; Z l - set of sets of information resources;

V c - определенная последовательность информационных ресурсов в конкретном наборе; V c - a certain sequence of information resources in a specific set;

R эт - множество эталонных наборов соответствия идентификаторов несанкционированных ИП наборам информационных ресурсов; R et - a set of reference sets of correspondence between identifiers of unauthorized individual entrepreneurs and sets of information resources;

R j - эталонный набор соответствия идентификаторов несанкционированных ИП к определенному набору информационных ресурсов. R j is a reference set of correspondence between identifiers of unauthorized individual entrepreneurs and a specific set of information resources.

При взаимодействии с источниками несанкционированных воздействий в современных системах защиты от компьютерных атак, в которых реализованы механизмы использования ложных адресов, то есть наличие ложной вычислительной сети, осуществляется имитация структуры и функционирования реальной вычислительной сети. Однако, более целесообразно применение подхода скрытия реальной вычислительной сети посредством легендирования.When interacting with sources of unauthorized influences in modern systems of protection against computer attacks, which implement mechanisms for using false addresses, that is, the presence of a false computer network, the structure and functioning of a real computer network is imitated. However, it is more appropriate to use the approach of hiding a real computer network through legendization.

Легендирование - это способ защиты информации от технических разведок, предусматривающий преднамеренное распространение и поддержание ложной информации о функциональном предназначении объекта защиты [Доронин А. И. Бизнес-разведка. - 2-е изд., перераб. и доп. - М.: Издательство «Ось-89», 2003, c. 264].Legend is a method of protecting information from technical intelligence, involving the deliberate dissemination and maintenance of false information about the functional purpose of the object of protection [Doronin A.I. Business intelligence. - 2nd ed., revised. and additional - M.: Publishing house "Os-89", 2003, p. 264].

При этом злоумышленнику предоставляется искаженные сведения о характере и предназначении защищаемой информации или объекта, когда их наличие полностью не скрывается, а маскируется действительное предназначение и характер действий [Домарев В.В. Безопасность информационных технологий. Методология создания систем защиты. - К.: ООО «ТИД «ДС», 2002, с.639].In this case, the attacker is provided with distorted information about the nature and purpose of the protected information or object, when their presence is not completely hidden, but the actual purpose and nature of the actions are masked [Domarev V.V. Information technology security. Methodology for creating protection systems. - K.: LLC “TID “DS”, 2002, p.639].

Таким образом, в заявленном способе предполагается реализация легендирования последовательности предоставления информационных ресурсов путем формирования множества легенд для взаимодействия с несанкционированными ИП. При этом легенда будет представлять собой строгую последовательность информационных ресурсов V c имитирующую облик объекта, существенно отличающийся от защищаемой вычислительной сети. Например, если защищаемая вычислительная сеть принадлежит финансовой организации, то формируемая ложная вычислительная сеть может имитировать социальную службу, организацию профессионального обучения или интернет-магазин. В этом случае злоумышленник либо фактически сразу откажется от реализации атаки из-за незаинтересованности к ложному объекту, что можно обозначить как политику «отпугивания» от реальной вычислительной сети, либо продолжит воздействия на ложный объект, но в этом случае можно считать, что реальная вычислительная сеть не является целью злоумышленника. При этом повышается вероятность защищенности вычислительной сети от внешних деструктивных воздействий.Thus, the claimed method assumes the implementation of legendization of the sequence of provision of information resources by generating multiple legends for interaction with unauthorized individual entrepreneurs. In this case, the legend will be a strict sequence of information resources V c simulating the appearance of an object that is significantly different from the protected computer network. For example, if the protected computer network belongs to a financial organization, then the generated false computer network can imitate a social service, a vocational training organization, or an online store. In this case, the attacker will either actually immediately refuse to carry out the attack due to disinterest in the false object, which can be described as a policy of “scaring away” from the real computer network, or will continue to influence the false object, but in this case it can be considered that the real computer network is not the attacker's target. At the same time, the likelihood of protecting the computer network from external destructive influences increases.

Первоначально задают исходные данные: опорные идентификаторы санкционированных ИП, содержащих адреса отправителей и получателей пакетов сообщений; ложные адреса абонентов вычислительной сети; множество наборов информационных ресурсов; множество эталонных наборов соответствия идентификаторов несанкционированных ИП наборам информационных ресурсов (блок 1, фиг. 2).Initially, the initial data is set: reference identifiers of authorized IPs containing the addresses of senders and recipients of message packages; false addresses of computer network subscribers; many sets of information resources; a set of reference sets of correspondence between identifiers of unauthorized individual entrepreneurs and sets of information resources (block 1, Fig. 2).

При этом, формируется множество наборов информационных ресурсов Z = {Z l }, где l - заданное количество наборов информационных ресурсов, Z l ={V c }, где V c - определенная последовательность информационных ресурсов в конкретном наборе. Каждый набор информационных ресурсов сформирован как структурно, так и функционально для поддержания разработанной легенды, то есть объекта, не относящегося к реальной вычислительной сети и имеющий другое предназначение, существенно отличающееся от защищаемой вычислительной сети.In this case, a set of sets of information resources is formed Z = { Z l }, where l is a given number of sets of information resources, Z l = { V c }, where V c is a certain sequence of information resources in a specific set. Each set of information resources is formed both structurally and functionally to support the developed legend, that is, an object that is not related to the real computer network and has a different purpose that is significantly different from the protected computer network.

Кроме того, формируется множество эталонных наборов соответствия идентификаторов несанкционированных ИП наборам информационных ресурсов R эт ={R j }, где j - заданное количество эталонных наборов соответствия идентификаторов несанкционированных ИП к определенному набору информационных ресурсов. То есть, каждому элементу K i , принадлежащему множеству несанкционированных ИП {ID нс}, поставлен в соответствие некоторый элемент Z l , принадлежащий множеству наборов информационных ресурсов Z, и говорят, что на множестве несанкционированных ИП {ID нс} задана некоторая функция R j со значениями на множестве наборов информационных ресурсов Z [Карнаков В.А. Лекции по линейной алгебре. Учебное пособие. - Иркутск 2016, с. 5]. Таким образом, эталонный набор соответствия идентификаторов несанкционированных ИП наборам информационных ресурсов формально можно записать как R j :K i Z l .In addition, many reference sets of correspondence between identifiers of unauthorized individual entrepreneurs and sets of information resources R et are formed ={ R j }, where j is a given number of reference sets of correspondence between identifiers of unauthorized individual entrepreneurs and a specific set of information resources. That is, each element K i belonging to the set of unauthorized IP { ID ns } is associated with some element Z l belonging to the set of sets of information resources Z , and it is said that on the set of unauthorized IP { ID ns } some function R j with values on a set of sets of information resources Z [Karnakov V.A. Lectures on linear algebra. Tutorial. - Irkutsk 2016, p. 5]. Thus, the reference set of correspondence between identifiers of unauthorized individual entrepreneurs and sets of information resources can be formally written as R j : K i Z l .

Далее принимают очередной пакет сообщений, определяют его легитимность и при несовпадении присваивают идентификатору ID пакета сообщений номер появления К i принимаемого несанкционированного ИПи передают данный пакет на ложную вычислительную сеть (блок 2-9, фиг. 2).Next, the next packet of messages is received, its legitimacy is determined, and if there is a discrepancy, the message packet ID is assigned the number of occurrence K i of the received unauthorized IP and this packet is transmitted to the false computer network (block 2-9, Fig. 2).

После передачи пакета сообщения несанкционированного ИП на заданные ложные адреса абонентов вычислительной сети и выделенияиз них идентификатора появления К i несанкционированного ИП сравнивают его со значениями в эталонных наборах R j соответствия идентификаторов несанкционированных ИП к определенному набору информационных ресурсов (блок 10, фиг. 2).After transmitting a message packet from an unauthorized IP to the specified false addresses of computer network subscribers and isolating the appearance identifier from themTO i unauthorized IP is compared with the values in the reference setsR j correspondence of identifiers of unauthorized individual entrepreneurs to a specific set of information resources (block 10, Fig. 2).

При этом осуществляется определение является ли появление К i несанкционированного ИП новым или данный несанкционированный ИП уже взаимодействует с ложным объектом или взаимодействие было ранее и имеется эталонный набор R j соответствия идентификаторов несанкционированных ИП к определенному набору информационных ресурсов с соответствующей записью R j   : K i Z l . Это позволяет для взаимодействия предоставлять злоумышленнику один и тот же набор информационных ресурсов описывающий легенду конкретного ложного объекта. Для реализации механизма определения соответствия идентификаторов несанкционированных ИП к определенному набору информационных ресурсов используется IP-адрес, однако при динамическом его формировании (динамические записи) возникнут сложности, связанные с предоставлением провайдером услуг доступа во внешней сети IP-адреса из ARP-сервера (свободного на момент обращения к серверу) [Олифер, В. Г. Компьютерные сети. Принципы, технологии, протоколы (5-е издание)./ Олифер, В. Г., Олифер Н. А. // - СПб. : Питер, 2016. 992 с.]. Для устранения этого недостатка предлагается осуществлять идентификацию не по полному IP-адресу, а по части IP-адреса достаточной для идентификации сегмента сети (сетевое расположение) относящегося к одному ARP-серверу, то есть одному и тому же провайдеру, что позволит предоставлять группе злоумышленников данного сегмента ложный объект с конкретно определенной легендой.In this case, it is determined whether the appearance of K i of an unauthorized IP is new or this unauthorized IP is already interacting with a false object or the interaction was previously and there is a reference set R j of correspondence of identifiers of unauthorized IP to a certain set of information resources with the corresponding record R j   : K i Z l . This allows interaction to provide the attacker with the same set of information resources describing the legend of a specific false object. To implement a mechanism for determining the correspondence of identifiers of unauthorized IPs to a specific set of information resources, an IP address is used, however, when it is dynamically generated (dynamic records), difficulties will arise associated with the service provider providing access to an external network IP address from an ARP server (free at the time access to the server) [Olifer, V. G. Computer networks. Principles, technologies, protocols (5th edition)./ Olifer, V. G., Olifer N. A. // - St. Petersburg. : Peter, 2016. 992 p.]. To eliminate this drawback, it is proposed to carry out identification not by the full IP address, but by a part of the IP address sufficient to identify a network segment (network location) related to the same ARP server, that is, the same provider, which will allow providing a group of attackers with this segment is a false object with a specifically defined legend.

В соответствии с существующим подходом IP-адрес состоит из двух логических частей - адреса сети и адреса узла в сети, при этом адрес сети определяется по маске [Олифер, В. Г. Компьютерные сети. Принципы, технологии, протоколы (5-е издание)./ Олифер, В. Г., Олифер Н. А. // - СПб. : Питер, 2016. 992 с.], что позволяет использовать это при сравнении идентификатора несанкционированного ИП с эталонными наборами R j . В этом случае злоумышленники, относящиеся к определенному сегменту (сетевое расположение) вне зависимости от периодичности воздействия (будет использован различный динамически сформированный IP-адрес) получат для взаимодействия один и тот же ложный объект, что не вызовет их подозрений, которые могли бы появиться при случайном изменении предоставляемого набора информационных ресурсов, и соответственно позволит избежать вскрытия используемых легенд.In accordance with the existing approach, the IP address consists of two logical parts - the network address and the address of the node in the network, while the network address is determined by the mask [Olifer, V. G. Computer networks. Principles, technologies, protocols (5th edition)./ Olifer, V. G., Olifer N. A. // - St. Petersburg. : Peter, 2016. 992 p.], which allows you to use this when comparing the identifier of an unauthorized individual entrepreneur with reference sets R j . In this case, attackers belonging to a specific segment (network location), regardless of the frequency of impact (a different dynamically generated IP address will be used), will receive the same false object for interaction, which will not arouse their suspicions, which could arise in case of accident. changing the provided set of information resources, and accordingly will avoid opening the used legends.

При совпадении идентификаторов несанкционированных ИП со значениями в эталонных наборах R j определяют набор информационных ресурсов Z l соответствующий проявлением несанкционированного ИП К i . После чего определяют информационный ресурс V c + 1 следующий в последовательности информационных ресурсов соответствующего набора информационного ресурса Z l . Затем предоставляют его для взаимодействия с соответствующим проявлением несанкционированного ИП К i (блоки 11-13, фиг. 2).If the identifiers of unauthorized IP coincide with the values in the reference sets R j , a set of information resources Z l is determined corresponding to the manifestation of the unauthorized IP K i . Then the information resource V c + 1 next in the sequence of information resources of the corresponding set of information resource Z l is determined. Then it is provided for interaction with the corresponding manifestation of the unauthorized IP K i (blocks 11-13, Fig. 2).

После чего сравнивают значение предоставленного информационного ресурса V c + 1 с конечным значением информационного ресурса V С в данном наборе информационных ресурсов Z l (блок 14, фиг. 2). Это позволяет последовательно задействовать набор информационного ресурса, который должен сформировать у злоумышленника достаточно полный информационный облик представленного ложного объекта.Then the value of the provided information resource V c + 1 is compared with the final value of the information resource V C in this set of information resources Z l (block 14, Fig. 2). This allows you to sequentially use a set of information resources, which should give the attacker a fairly complete information image of the presented false object.

При выполнении условия V c + 1= V С блокируют i-ый несанкционированный ИП, и формируют сигнал атаки на вычислительную сеть (блок 15, фиг. 2). При невыполнении условия формируют от текущего информационного ресурса ответный пакет сообщения, а затем передают его отправителю (блоки 19, 20, фиг. 2).When the condition V c + 1 = V C is met, the i -th unauthorized IP is blocked and an attack signal on the computer network is generated (block 15, Fig. 2). If the condition is not met, a response message packet is generated from the current information resource and then transmitted to the sender (blocks 19, 20, Fig. 2).

При несовпадении идентификаторов несанкционированных ИП со значениями в эталонных наборах R j определяют свободный набор информационных ресурсов Z l и предоставляют из него первый информационный ресурс V 1 для начала взаимодействия с соответствующим проявлением несанкционированного ИП К i . Также формируют новый R j +1 эталонный набор соответствия идентификаторов несанкционированных ИП к определенному набору информационных ресурсов и запоминают его во множестве эталонных наборов соответствия идентификаторов несанкционированных ИП наборам информационных ресурсов R эт (блоки 16-18, фиг. 2). Далее формируют от текущего информационного ресурса ответный пакет сообщения, а затем передают его отправителю (блоки 19, 20, фиг. 2).If the identifiers of unauthorized IPs do not match the values in the reference sets R j, a free set of information resources Z l is determined and the first information resource V 1 is provided from it to begin interaction with the corresponding manifestation of the unauthorized IP K i . A new R j +1 reference set of correspondence between identifiers of unauthorized IPs and a specific set of information resources is also formed and stored in a set of reference sets of correspondence between identifiers of unauthorized IPs and sets of information resources R fl (blocks 16-18, Fig. 2). Next, a response message packet is generated from the current information resource, and then transmitted to the sender (blocks 19, 20, Fig. 2).

Достижение технического результата поясняется следующим образом. В способе-прототипе при формировании информационного ресурса ложного объекта производится имитация функционирования реальной вычислительной сети, вследствие чего это заинтересует злоумышленника и позволит предоставить ему ложные данные, однако существует возможность, при которой в ходе взаимодействия злоумышленник определит элементы защищаемой вычислительной сети и в дальнейшем при развитии компьютерной атаки осуществит деструктивные воздействия на них, что приведет к существенному уменьшению защищенности вычислительной сети. В заявленном способе предполагается реализация легендирования последовательности предоставления информационных ресурсов путем формирования множества легенд для взаимодействия с несанкционированными ИП, за счет предоставления искаженных сведений о характере и предназначении защищаемого объекта, когда их наличие полностью не скрывается, а маскируется действительное предназначение и характер действий. При этом, легенда представляет собой строгую последовательность информационных ресурсов, имитирующую облик объекта, существенно отличающийся от защищаемой вычислительной сети. Например, если защищаемая вычислительная сеть принадлежит финансовой организации, то формируемая ложная вычислительная сеть может имитировать социальную службу, организацию профессионального обучения или интернет-магазин. В этом случае злоумышленник либо фактически сразу откажется от реализации атаки из-за незаинтересованности к ложному объекту, что можно обозначить как политику «отпугивания» от реальной вычислительной сети, либо продолжит воздействия на ложный объект, но в этом случае можно считать, что реальная вычислительная сеть не является целью злоумышленника.Achieving the technical result is explained as follows. In the prototype method, when forming an information resource of a false object, the functioning of a real computer network is imitated, as a result of which this will interest the attacker and will allow him to provide false data, however, there is a possibility in which during the interaction the attacker will determine the elements of the protected computer network and in the future with the development of the computer attacks will have destructive effects on them, which will lead to a significant decrease in the security of the computer network. The claimed method involves the implementation of legendization of the sequence of provision of information resources by generating multiple legends for interaction with unauthorized individual entrepreneurs, by providing distorted information about the nature and purpose of the protected object, when their presence is not completely hidden, but the actual purpose and nature of the actions are masked. At the same time, the legend is a strict sequence of information resources that imitates the appearance of an object that is significantly different from the protected computer network. For example, if the protected computer network belongs to a financial organization, then the generated false computer network can imitate a social service, a vocational training organization, or an online store. In this case, the attacker will either actually immediately refuse to carry out the attack due to disinterest in the false object, which can be described as a policy of “scaring away” from the real computer network, or will continue to influence the false object, but in this case it can be considered that the real computer network is not the attacker's target.

Кроме того, при организации взаимодействия со злоумышленником реализованы действия, которые позволяют предоставлять группе злоумышленников определенного сегмента, то есть с учетом их сетевого расположения, ложный объект с конкретно определенной легендой, что не вызовет их подозрений, которые могли бы появиться при случайном изменении предоставляемого набора информационных ресурсов, и соответственно позволит избежать вскрытия используемых легенд.In addition, when organizing interaction with an attacker, actions have been implemented that make it possible to provide a group of attackers of a certain segment, that is, taking into account their network location, a false object with a specifically defined legend, which will not arouse their suspicions, which could arise if the provided set of information is accidentally changed resources, and accordingly will avoid opening the used legends.

Таким образом, заявленный способ за счет реализации легендирования последовательности предоставления информационных ресурсов путем формирования множества легенд для взаимодействия с несанкционированными ИП с учетом сетевого расположения их источников позволяет повысить защищенность вычислительных сетей.Thus, the claimed method, by implementing legendization of the sequence of provision of information resources by generating multiple legends for interaction with unauthorized IPs, taking into account the network location of their sources, makes it possible to increase the security of computer networks.

Claims (1)

Способ защиты вычислительных сетей на основе легендирования, заключающийся в том, что предварительно запоминают N≥1 опорных идентификаторов санкционированных информационных потоков, содержащих адреса отправителей и получателей пакетов сообщений, задают Р≥1 ложных адресов абонентов вычислительной сети, принимают очередной пакет сообщений и определяют его легитимность, для чего выделяют из его заголовка идентификаторы, которые сравнивают с опорными идентификаторами, и при их совпадении передают легитимный пакет сообщений получателю, после чего принимают очередной пакет сообщений и повторяют совокупность действий по определению его легитимности, а при отсутствии совпадения запоминают идентификаторы принятого несанкционированного информационного потока, присваивают ему очередной i-й идентификационный номер, затем передают пакет сообщения несанкционированного информационного потока на заданные ложные адреса абонентов вычислительной сети, отличающийся тем, что в исходные данные дополнительно задают множество наборов информационных ресурсов Z={Z l }, где l – заданное количество наборов информационных ресурсов, Z l ={V c }, где V c – определенная последовательность информационных ресурсов в конкретном наборе, имеющихся на каждом Р ложном адресе абонентов вычислительной сети, а также задают множество эталонных наборов соответствия идентификаторов несанкционированных информационных потоков наборам информационных ресурсов R эт={R j }, где j – заданное количество эталонных наборов соответствия идентификаторов несанкционированных информационных потоков к определенному набору информационных ресурсов, после передачи пакета сообщения несанкционированного информационного потока на заданные ложные адреса абонентов вычислительной сети и выделения из них идентификаторов появления К i несанкционированного информационного потока сравнивают его со значениями в эталонных наборах R j соответствия идентификаторов несанкционированных информационных потоков к определенному набору информационных ресурсов и при совпадении идентификаторов несанкционированных информационных потоков со значениями в эталонных наборах R j определяют набор информационных ресурсов Z l , соответствующий проявлению несанкционированного информационного потока К i , после чего определяют информационный ресурс V c + 1, следующий в последовательности информационных ресурсов соответствующего набора информационного ресурса Z l , затем предоставляют его для взаимодействия с соответствующим проявлением несанкционированного информационного потока К i , после чего сравнивают значение предоставленного информационного ресурса V c + 1 с конечным значением информационного ресурса V С в данном наборе информационных ресурсов Z l , и при выполнении условия V c + 1=V С блокируют i-й несанкционированный информационный поток и формируют сигнал атаки на вычислительную сеть, а при невыполнении условия формируют от текущего информационного ресурса ответный пакет сообщения и передают его отправителю, при несовпадении идентификаторов несанкционированных информационных потоков со значениями в эталонных наборах R j определяют свободный набор информационных ресурсов Z l и предоставляют из него первый информационный ресурс V 1 для начала взаимодействия с соответствующим проявлением несанкционированного информационного потока К i , а также формируют новый R j +1 эталонный набор соответствия идентификаторов несанкционированных информационных потоков к определенному набору информационных ресурсов и запоминают его во множестве эталонных наборов соответствия идентификаторов несанкционированных информационных потоков наборам информационных ресурсов R эт, а затем также формируют ответный пакет сообщения от текущего информационного ресурса и передают его отправителю.A method for protecting computer networks based on legending, which consists in pre-memorizing N ≥1 reference identifiers of authorized information flows containing the addresses of senders and recipients of message packages, setting P ≥1 false addresses of computer network subscribers, receiving the next message package and determining its legitimacy , for which identifiers are extracted from its header, which are compared with the reference identifiers, and if they match, they transmit a legitimate package of messages to the recipient, after which they receive the next package of messages and repeat a set of actions to determine its legitimacy, and if there is no match, they remember the identifiers of the received unauthorized information flow , assign it the next i -th identification number, then transmit a message packet of an unauthorized information flow to the given false addresses of subscribers of the computer network, characterized in that the initial data is additionally specified with many sets of information resources Z ={ Z l }, where l is a given number sets of information resources, Z l = { V c }, where V c is a certain sequence of information resources in a specific set, available at each P false address of subscribers of the computer network, and also set a set of reference sets of correspondence of identifiers of unauthorized information flows to sets of information resources R et ={ R j }, where j is a given number of reference sets of correspondence of identifiers of unauthorized information flows to a certain set of information resources, after transmitting a message package of an unauthorized information flow to the given false addresses of subscribers of a computer network and isolating from them identifiers of the appearance of K i of an unauthorized information flow, they are compared it with the values in the reference sets R j of the correspondence of the identifiers of unauthorized information flows to a certain set of information resources and if the identifiers of unauthorized information flows coincide with the values in the reference sets R j , a set of information resources Z l is determined corresponding to the manifestation of the unauthorized information flow K i , after which they are determined information resource V c + 1 , next in the sequence of information resources of the corresponding set of information resource Z l , then provide it for interaction with the corresponding manifestation of the unauthorized information flow K i , after which the value of the provided information resource V c + 1 is compared with the final value of the information resource V C in a given set of information resources Z l , and if the condition V c + 1 = V C is met, the i -th unauthorized information flow is blocked and a signal of an attack on the computer network is generated, and if the condition is not met, a response message packet is generated from the current information resource and transmitted to the sender, if the identifiers of unauthorized information flows do not match the values in the reference sets R j , a free set of information resources Z l is determined and the first information resource V 1 is provided from it to begin interaction with the corresponding manifestation of the unauthorized information flow K i , and also a new R j + is formed 1 reference set of correspondence of identifiers of unauthorized information flows to a specific set of information resources and store it in a set of reference sets of correspondence of identifiers of unauthorized information flows to sets of information resources R fl , and then also form a response packet of a message from the current information resource and transmit it to the sender.
RU2023120277A 2023-08-02 Method for protection of computer networks based on legendizing RU2814463C1 (en)

Publications (1)

Publication Number Publication Date
RU2814463C1 true RU2814463C1 (en) 2024-02-28

Family

ID=

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2475836C1 (en) * 2012-03-12 2013-02-20 Федеральное государственное военное образовательное учреждение высшего профессионального образования "Военная академия связи имени маршала Советского Союза С.М. Буденного" Министерства обороны Российской Федерации Method for protection of computer networks
US8819818B2 (en) * 2012-02-09 2014-08-26 Harris Corporation Dynamic computer network with variable identity parameters
RU2715165C1 (en) * 2019-10-23 2020-02-25 Федеральное государственное казенное военное образовательное учреждение высшего образования Академия Федеральной службы охраны Российской Федерации Method of protecting computer networks based on adaptive interaction
CN111756712A (en) * 2020-06-12 2020-10-09 广州锦行网络科技有限公司 Method for forging IP address and preventing attack based on virtual network equipment
US20230208811A1 (en) * 2013-01-11 2023-06-29 Centripetal Networks, Llc Rule Swapping in a Packet Network

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8819818B2 (en) * 2012-02-09 2014-08-26 Harris Corporation Dynamic computer network with variable identity parameters
RU2475836C1 (en) * 2012-03-12 2013-02-20 Федеральное государственное военное образовательное учреждение высшего профессионального образования "Военная академия связи имени маршала Советского Союза С.М. Буденного" Министерства обороны Российской Федерации Method for protection of computer networks
US20230208811A1 (en) * 2013-01-11 2023-06-29 Centripetal Networks, Llc Rule Swapping in a Packet Network
RU2715165C1 (en) * 2019-10-23 2020-02-25 Федеральное государственное казенное военное образовательное учреждение высшего образования Академия Федеральной службы охраны Российской Федерации Method of protecting computer networks based on adaptive interaction
CN111756712A (en) * 2020-06-12 2020-10-09 广州锦行网络科技有限公司 Method for forging IP address and preventing attack based on virtual network equipment

Similar Documents

Publication Publication Date Title
CN110113328B (en) Software defined opportunistic network DDoS defense method based on block chain
CN111818031B (en) Block chain based covert communication message security encoding method, system and medium
Zander et al. Covert channels and countermeasures in computer network protocols [reprinted from ieee communications surveys and tutorials]
CN107566381A (en) Equipment safety control method, apparatus and system
RU2475836C1 (en) Method for protection of computer networks
CN109660539A (en) It falls device identification method, device, electronic equipment and storage medium
KR20100075043A (en) Management system for security control of irc and http botnet and method thereof
CN109120602B (en) IPv6 attack tracing method
CN111181901A (en) Abnormal flow detection device and abnormal flow detection method thereof
Luo et al. Robust network covert communications based on TCP and enumerative combinatorics
Saravanan et al. A new framework to alleviate DDoS vulnerabilities in cloud computing.
RU2690749C1 (en) Method of protecting computer networks
CN110266650A (en) The recognition methods of Conpot industry control honey jar
RU2307392C1 (en) Method (variants) for protecting computer networks
CN112738002A (en) Technology for building industrial control honey net based on virtuality and reality combination
Shamsolmoali et al. C2DF: High rate DDOS filtering method in cloud computing
RU2814463C1 (en) Method for protection of computer networks based on legendizing
Kotenko Chapter Agent-Based Modeling and Simulation of Network Infrastructure Cyber-Attacks and Cooperative Defense Mechanisms
RU2586840C1 (en) Method of processing network traffic datagrams for hiding corresponding pairs of subscribers of information-telecommunication systems
RU2674802C1 (en) Method of computer networks protection
Caulkins et al. A dynamic data mining technique for intrusion detection systems
Prasad et al. IP traceback for flooding attacks on Internet threat monitors (ITM) using Honeypots
CN116781315A (en) Attack detection method based on EGD protocol
RU2686023C1 (en) Method of protecting computer networks
RU2680038C1 (en) Method of computer networks protection