Патенты автора Репин Дмитрий Сергеевич (RU)
Изобретение относится к способу обнаружения сетевых атак на основе анализа фрактальных характеристик трафика в информационно-вычислительной сети, причем на входе сети установлено средство контроля, выполненное с возможностью принимать входящий трафик и обрабатывать данные. Технический результат заключается в обеспечении возможности обнаружения компьютерных атак разных видов путем анализа в реальном масштабе времени фрактальных характеристик интенсивности поступающего трафика без предварительного определения его статистических характеристик. Способ заключается в том, что: устанавливают интервал дискретизации по времени, значение масштабирующего множителя, ширину временного скользящего окна, пороговое значение для показателя Херста Н; (А) принимают входящий трафик с помощью средства контроля; осуществляют с помощью средства контроля фильтрацию трафика путем исключения из данных прикладного уровня заголовков протоколов низлежащих уровней; вычисляют с помощью средства контроля значения интенсивности трафика на интервале дискретизации по времени; вычисляют для трех последних значений интенсивности трафика масштабированные значения интенсивности трафика путем умножения каждого значения на масштабирующий множитель, показатель кривизны ломаной на основе масштабированных значений интенсивности трафика; вычисляют значения суммарной кривизны ломаной по значениям показателей ее кривизны, зафиксированным в скользящем окне за последний и предыдущие моменты времени; вычисляют значение геометрического индекса фрактальности; вычисляют значение показателя Херста Н с помощью приведенного выражения, если рассчитанное значение показателя Херста Н ниже порогового значения, то сдвигают временное скользящее окно на один интервал дискретизации по времени; переходят к этапу А; принимают решение о факте наличия компьютерной атаки. 5 ил.
Изобретение относится к вычислительной технике. Техническим результатом является расширение функциональных возможностей способов детектирования DDoS-атак и противодействия им за счет обеспечения возможности детектирования сетевых атак разных типов на основе совместного учета вероятностных статистик, формируемых раздельно по значениям параметров как адресных полей заголовков пакетов данных, так и нагрузочных полей. Раскрыт способ защиты от DDoS-атак на основе классификации трафика, включающий в себя этапы, на которых: принимают пакеты или потоки пакетов от внешних устройств, пытающихся получить доступ к защищаемым устройствам в защищенной сети; классифицируют принятые пакеты, определяя, относятся ли они к одному или нескольким из множества типов трафика; применяют контрмеры в зависимости от результата классификации. При этом на этапе классификации: формируют раздельно вероятностные статистики по значениям параметров как адресных полей заголовков пакетов данных, так и значениям характеристик их нагрузочных полей, при этом формируют по потокам пакетов значения адресных информативных признаков как функций изменчивости значений параметров адресных полей заголовков пакетов данных; оценивают по репрезентативным выборкам и запоминают для всех заданных типов трафика частоты (эмпирические вероятности) всех сформированных адресных информативных признаков; формируют по потокам пакетов значения нагрузочных информативных признаков как функций изменчивости значений параметров нагрузочных полей заголовков пакетов данных; оценивают по репрезентативным выборкам и запоминают для всех заданных типов трафика частоты (эмпирические вероятности) всех сформированных нагрузочных информативных признаков; формируют значения правдоподобий принадлежности совокупностей значений адресных и нагрузочных информативных признаков к заданному типу трафика на основании их оцененных частот; регистрируют поток пакетов трафика и производят последовательное добавление к нему дополнительных пакетов, формируя последовательность совокупностей значений адресных и нагрузочных информативных признаков; оценивают значения правдоподобий принадлежности последовательности совокупностей значений адресных и нагрузочных информативных признаков к заданному типу трафика; оценивают отношения правдоподобий отнесения трафика к заданному типу атаки; производят выбор минимального значения количества наблюдений, обеспечивающих наперед заданные значения ошибок детектирования 1-го и 2-го родов для всех оцененных отношений правдоподобий, варьируя количество добавляемых пакетов трафика; оценивают для каждого принятого потока пакетов апостериорные вероятности заданных типов трафика; при этом на этапе применения множества контрмер учитывают для каждого принятого потока пакетов оцененные апостериорные вероятности заданных типов трафика. 3 з.п. ф-лы, 5 ил.
Изобретение относится к области защиты информационных систем, а именно к обнаружению компьютерных атак. Технический результат – расширение функциональных возможностей обнаружения DDoS-атак. Способ обнаружения сетевых атак на основе анализа временной структуры трафика включает в себя этапы, на которых принимают из сети последовательность пакетов данных, запоминают принятые пакеты данных, выделяют из запомненных пакетов данных их характеристики, на основании этих характеристик формируют значения признаков, на стадии обучения устанавливают пороговые значения признаков, на стадии обнаружения сравнивают сформированные значения признаков с их пороговыми значениями, принимают решение о наличии или отсутствии сетевой атаки и определяют тип одиночной сетевой атаки по сочетанию сформированных значений признаков и их пороговых значений, при этом выделение из запомненных пакетов данных их характеристик осуществляют путем логической фильтрации параметров этих пакетов, выделяя пакеты с различными совокупностями параметров и отбирая для них лишь динамические характеристики, формируют значение признаков путем генерирования значений первых и вторых опорных сигналов трафика, при этом первые опорные сигналы трафика генерируют в виде временных отсчетов статистик отобранных характеристик, а вторые опорные сигналы трафика генерируют ортогональными первым, преобразуя их фильтром с конечной импульсной характеристикой таким образом, что временные отсчеты вторых опорных сигналов зависят только от центральных разностей отсчетов первых опорных сигналов, формируют фазовые портреты трафика в нормальном и атакуемых состояниях, и устанавливают пороговые значения признаков. 10 з.п. ф-лы, 6 ил.
Изобретение относится к медицине
Изобретение относится к медицине
