Патенты автора Никольский Дмитрий Николаевич (RU)
Изобретение относится к вычислительной технике. Техническим результатом является расширение функциональных возможностей способов детектирования DDoS-атак и противодействия им за счет обеспечения возможности детектирования сетевых атак разных типов на основе совместного учета вероятностных статистик, формируемых раздельно по значениям параметров как адресных полей заголовков пакетов данных, так и нагрузочных полей. Раскрыт способ защиты от DDoS-атак на основе классификации трафика, включающий в себя этапы, на которых: принимают пакеты или потоки пакетов от внешних устройств, пытающихся получить доступ к защищаемым устройствам в защищенной сети; классифицируют принятые пакеты, определяя, относятся ли они к одному или нескольким из множества типов трафика; применяют контрмеры в зависимости от результата классификации. При этом на этапе классификации: формируют раздельно вероятностные статистики по значениям параметров как адресных полей заголовков пакетов данных, так и значениям характеристик их нагрузочных полей, при этом формируют по потокам пакетов значения адресных информативных признаков как функций изменчивости значений параметров адресных полей заголовков пакетов данных; оценивают по репрезентативным выборкам и запоминают для всех заданных типов трафика частоты (эмпирические вероятности) всех сформированных адресных информативных признаков; формируют по потокам пакетов значения нагрузочных информативных признаков как функций изменчивости значений параметров нагрузочных полей заголовков пакетов данных; оценивают по репрезентативным выборкам и запоминают для всех заданных типов трафика частоты (эмпирические вероятности) всех сформированных нагрузочных информативных признаков; формируют значения правдоподобий принадлежности совокупностей значений адресных и нагрузочных информативных признаков к заданному типу трафика на основании их оцененных частот; регистрируют поток пакетов трафика и производят последовательное добавление к нему дополнительных пакетов, формируя последовательность совокупностей значений адресных и нагрузочных информативных признаков; оценивают значения правдоподобий принадлежности последовательности совокупностей значений адресных и нагрузочных информативных признаков к заданному типу трафика; оценивают отношения правдоподобий отнесения трафика к заданному типу атаки; производят выбор минимального значения количества наблюдений, обеспечивающих наперед заданные значения ошибок детектирования 1-го и 2-го родов для всех оцененных отношений правдоподобий, варьируя количество добавляемых пакетов трафика; оценивают для каждого принятого потока пакетов апостериорные вероятности заданных типов трафика; при этом на этапе применения множества контрмер учитывают для каждого принятого потока пакетов оцененные апостериорные вероятности заданных типов трафика. 3 з.п. ф-лы, 5 ил.
Изобретение относится к области защиты информационных систем, а именно к обнаружению компьютерных атак. Технический результат – расширение функциональных возможностей обнаружения DDoS-атак. Способ обнаружения сетевых атак на основе анализа временной структуры трафика включает в себя этапы, на которых принимают из сети последовательность пакетов данных, запоминают принятые пакеты данных, выделяют из запомненных пакетов данных их характеристики, на основании этих характеристик формируют значения признаков, на стадии обучения устанавливают пороговые значения признаков, на стадии обнаружения сравнивают сформированные значения признаков с их пороговыми значениями, принимают решение о наличии или отсутствии сетевой атаки и определяют тип одиночной сетевой атаки по сочетанию сформированных значений признаков и их пороговых значений, при этом выделение из запомненных пакетов данных их характеристик осуществляют путем логической фильтрации параметров этих пакетов, выделяя пакеты с различными совокупностями параметров и отбирая для них лишь динамические характеристики, формируют значение признаков путем генерирования значений первых и вторых опорных сигналов трафика, при этом первые опорные сигналы трафика генерируют в виде временных отсчетов статистик отобранных характеристик, а вторые опорные сигналы трафика генерируют ортогональными первым, преобразуя их фильтром с конечной импульсной характеристикой таким образом, что временные отсчеты вторых опорных сигналов зависят только от центральных разностей отсчетов первых опорных сигналов, формируют фазовые портреты трафика в нормальном и атакуемых состояниях, и устанавливают пороговые значения признаков. 10 з.п. ф-лы, 6 ил.
Изобретение относится к области оптических измерений и касается способа нейроподобного снижения размерности оптических спектров. Способ заключается в мультиплексировании компонент спектра на несколько каналов, число которых меньше числа всех компонент, фильтрации мультиплексированных компонент в каждом канале и пространственном накоплении во всех каналах отфильтрованных компонент для формирования редуцированных образов оптических спектров. Фильтрацию компонент в каждом канале мультиплексирования производят различным образом на основании фильтрации в предыдущих каналах. При этом в первом канале регистрируют вариации значений компонент совокупности всех оптических спектров и по ним формируют опорный дискретный сигнал, по которому настраивают величины увеличения/уменьшения значений амплитуд компонент. В последующих каналах формируют соответствующие опорные дискретные сигналы, ортогональные всем опорным сигналам предыдущих каналов, и по значениям их отсчетов настраивают величины увеличения/уменьшения значений амплитуд компонент этих каналов. Технический результат заключается в расширении функциональных возможностей и обеспечении возможности автоматической обработки оптических спектров. 2 з.п. ф-лы, 6 ил.
