Система анализа сетевого трафика

Предлагаемая система относится к области вычислительной техники и предназначена для определения сетевых атак (Атака - практическая реализация угрозы или попытка ее реализации с использованием той или иной уязвимости [Конеев И.Р., Беляев А.В. Информационная безопасность предприятия. - СПб.: БХВ - Петербург, 2003. - 752 с.: ил. на стр.30]) в информационно-вычислительных сетях и может быть размещена на узлах доступа, устройствах коммутации пакетов, маршрутизаторах сети передачи данных.

Известно "Устройство мониторинга безопасности автоматизированных систем" по патенту № 2270478, класс G06F 17/40 (G06F 12/14), 26.07.2004. В указанном изобретении описано устройство, содержащее делитель частоты, приемный блок памяти, вычитающий счетчик, первый, второй, третий, четвертый опорные блоки памяти, первый, второй, третий блоки дешифрации, первый, второй, третий, четвертый и пятый счетчики, первый, второй, третий элементы И, первый, второй, третий и четвертый блоки приема адреса, первый, второй блоки сравнения, первый, второй дешифраторы, регистр и блок индикации. Это устройство предназначено для мониторинга безопасности автоматизированных систем и оперативной идентификации применяемого в цифровых системах связи и, в частности, в сети передачи данных типа «Internet» семейства коммуникационных протоколов TCP/IP.

Данное устройство имеет ограничение, связанное с использованием сигнатурного метода обнаружения атак и как следствие - распознавание только известных типов атак, а также способность работы лишь со стеком протоколов TCP/IP.

Наиболее близким по своей технической сущности к заявленной системе является изобретение "Способ и устройство для прогнозирования трафика в системе связи" - патент № 2258316, класс H04L 12/56, 25.04.2003, которое решает задачу прогнозирования сетевого трафика.

Известное устройство содержит блок фильтрации трафика, состоящий из (i=1…N) прореживающих логических схем (G), (i=1…N) элементов И, (i=1…N-1) элементов ИСКЛЮЧАЮЩЕЕ ИЛИ, (i=1…N-1) счетчиков, блок запуска, выход которого подключен к входам прореживающих логических схем (i=1,2…N), выход "пропускание" первой прореживающей логической схемы подключен к первому и второму входам первого элемента И, кроме того, выход "пропускание" (i=2…N)-й прореживающей логической схемы подключен ко второму входу (i=2…N)-го элемента И, выход каждого i-го элемента И, за исключением N-го, подключен к первым входам последующего элемента И соответственно, также выходы каждого (i=1…N-1)-го элемента И соединены с первым входом (i=1…N-1)-го элемента ИСКЛЮЧАЮЩЕЕ ИЛИ соответственно, кроме того, выходы (i=2…N)-го элемента И подключены ко вторым входам (i=1…N-1)-го элемента ИСКЛЮЧАЮЩЕЕ ИЛИ соответственно, выходы i-го элемента ИСКЛЮЧАЮЩЕЕ ИЛИ являются входом i-го счетчика, вход блока запуска является информационным входом устройств, а также содержит блоки разности В (i=1…N-1), умножители X (i=1…N-1), счетчик D, делитель К, сумматор S, умножитель Т, причем выход блока запуска подключен к входу счетчика D, выход которого подключен к входу делителя К, выход которого соединен со вторым входом умножителя Т, второй выход каждой i-й прореживающей логической схемы кроме N-й подключен к первым входам i=1…N-1 элементов блоков разности В соответственно, вторые выходы 2…N-й прореживающей логической схемы подключены ко вторым входам i=1…N-1-го блоков разности В соответственно, выходы блоков разности В соединены с первыми входами умножителей X, на второй вход которых подключены выходы счетчиков (i=1…N-1), выходы умножителей X (i=1…N-1) соединены с входами (i=1…N-1) сумматора S, выход которого соединен с первым входом умножителя Т, причем информационным входом блока фильтрации трафика является блок запуска, к которому подключается канал связи, транзитно соединенный со вторым информационным выходом блока фильтрации трафика, а первым информационным выходом является выход умножителя Т. Известное устройство также содержит блок расчета автокорреляционной функции, блок расчета параметров авторегрессии, блок фильтра авторегрессии, при этом канал связи подключен к информационному входу блока фильтрации трафика, первому информационному входу блока расчета автокорреляционной функции и второму информационному входу блока фильтра авторегрессии, а первый информационный выход блока фильтрации трафика подключен ко второму входу блока расчета автокорреляционной функции, информационный выход блока расчета автокорреляционной функции соединен с информационным входом блока расчета параметров авторегрессии, а информационный выход блока расчета параметров авторегрессии соединен со вторым информационным входом блока фильтра авторегрессии, выход которого является выходом системы.

Сущность известного изобретения заключается в приеме блоком фильтрации трафика последовательности единиц трафика, ее фильтрации прореживающими логическими схемами в соответствии с установленными параметрами прореживания, определении оценки распределения единиц трафика по частоте появления путем одновременных вычислений оценок частоты появления в нескольких диапазонах значений. Дополнительно производится оценивание математического ожидания времени поступления единиц трафика путем одновременного вычитания значений единиц трафика соседних диапазонов с последующим умножением результатов на относительные частоты появления соответствующих распределений единиц трафика. Затем в блоке расчета автокорреляционной функции на основе полученного результата рассчитывается автокорреляционная функция случайного процесса, характеризующего время поступления единиц трафика. В блоке расчета параметров авторегрессии осуществляется расчет весовых коэффициентов фильтра, на основании которых в блоке фильтра авторегрессии осуществляется прогнозирование времени поступления к+1,2…n единицы трафика. Таким образом, осуществляется прогнозирование величин частоты поступления единиц трафика или времени между приходом отдельных его единиц.

Недостатком данного устройства является невозможность использования его для обнаружения атак в информационно-вычислительных сетях, так как оно не способно различить атаки в информационно-вычислительных сетях, то есть имеет ограниченные функциональные возможности.

Задача, решаемая системой, заключается в распознавании атак в информационно-вычислительных сетях, то есть в расширении функциональных возможностей.

Решение данной задачи заключается в том, что система содержит блок фильтрации трафика, блок расчета автокорреляционной функции, блок расчета параметров авторегрессии, блок фильтра авторегрессии, при этом первый информационный выход блока фильтрации трафика подключен к первому информационному входу блока расчета автокорреляционной функции, информационный выход блока расчета автокорреляционной функции соединен с информационным входом блока расчета параметров авторегрессии, а информационный выход блока расчета параметров авторегрессии соединен с первым информационным входом блока фильтра авторегрессии, а также содержит четыре ключа, счетчик, блок расчета коэффициента корреляции, блок принятия решения, блок управления ключами, причем к информационным входам первого ключа подключены канал связи и информационный выход блока фильтра авторегрессии, а первый информационный выход блока фильтрации трафика подключен ко входу второго ключа и первому входу четвертого ключа, а выход второго ключа соединен с первым входом блока расчета автокорреляционной функции, при этом второй информационный выход блока фильтрации трафика через счетчик подключен к управляющему входу блока управления ключами, управляющему входу третьего ключа, а информационный выход третьего ключа соединен со вторым информационным входом блока расчета автокорреляционной функции и вторым информационным входом блока фильтра авторегрессии, выход первого ключа соединен с первым информационным входом третьего ключа, блоком управления ключами и вторым информационным входом четвертого ключа, выходы которого связаны с блоком расчета коэффициентов корреляции, а информационный выход блока расчета коэффициентов корреляции соединен с информационным входом блока принятия решения, выходы которого являются выходами системы, выход блока фильтра авторегрессии соединен со вторым информационным входом третьего ключа, причем выход блока управления ключами соединен с управляющими входами первого, второго и четвертого ключей.

Работа предлагаемой системы поясняется чертежами, на которых показаны:

фиг.1 - структурная схема системы анализа трафика;

фиг.2 - структурная схема блока расчета коэффициента корреляции;

фиг.3 - структурная схема блока сумматора;

фиг.4 - структурная схема блока корневого сумматора;

фиг.5 - структурная схема блока принятия решения.

Где обозначены:

1, 3, 5, 10 - ключи, производящие переключение связей между блоками системы.

Блок фильтрации трафика 2 осуществляет прием последовательности единиц трафика и производит расчет математического ожидания времени поступления единиц трафика путем одновременного вычитания значений единиц трафика соседних диапазонов с последующим умножением результатов на относительные частоты появления соответствующих распределений единиц трафика.

Счетчик 4 осуществляет подсчет количества поступивших единиц трафика и после прихода сотой единицы выдает логическую единицу, которая является управляющей командой для включения блока управления ключами и третьего ключа.

Блок расчета автокорреляционной функции 6 производит вычисление по формуле

где x_t - значение времени прихода текущей единицы трафика;

x_t-k - значение времени прихода единицы трафика, сдвинутой на k интервалов назад;

- математическое ожидание времени прихода единиц трафика.

Блок расчета параметров авторегрессии 7 предназначен для расчета весовых коэффициентов фильтра авторегрессии по формулам

или .

Здесь r₁…r_p-1 - коэффициенты нормированной автокорреляционной функции.

Решение системы линейных уравнений позволяет вычислить коэффициенты авторегрессии φ₁…φ_p.

Блок фильтра авторегрессии 8 предназначен для получения прогнозной оценки времени прихода очередной единицы трафика. Это становится возможным после определения характера зависимости данной величины от своих предыдущих значений. Данная зависимость определяется как авторегрессионый процесс и представляет собой следующее линейное разностное уравнение с комплексными коэффициентами

где x_t - последовательность на выходе фильтра, в рассматриваемом примере данная величина представляет собой значение времени прихода текущей единицы трафика;

φ₁; φ₂; φ_p - значения весовых коэффициентов фильтра авторегрессии порядка p;

х_t-p - значения времени прихода единицы трафика, сдвинутой на р интервалов назад.

Прогноз осуществляется следующим образом: пусть на фильтр авторегрессии поступает значение времени прихода единицы трафика х_t. Переменная x_t проходит линии задержки цифрового фильтра и умножается на коэффициенты авторегрессии φ₁, φ_р, где р=2, значения которых поступили с блока расчета параметров авторегрессии. Результаты произведения суммируются, и конечное значение х_t+1 поступает на выход фильтра авторегрессии. Переменная х_t+1 представляет собой прогноз времени поступления k=1,2,…n единиц трафика.

Блок управления ключами 9 подает управляющую команду на первый, второй и четвертый ключи с частотой, вдвое превышающей частоту поступления единиц трафика. Необходимость в удвоении частоты возникает для решения задачи синхронизации, а именно - устройству требуется за один интервал поступления единиц трафика рассчитать реальный образ за первый полутакт и эталонный образ за второй полутакт. Данный блок может быть реализован на преобразователе частоты с электронным ключом (переключателем) [А.А.Бокуняев, Н.М.Борисов, Р.Г.Варламов и др. Под ред. Н.Н.Чистякова. - М.: Радио и связь, 1990. - 624 с.: ил.].

Блок расчета коэффициента корреляции 11, осуществляет расчет коэффициента корреляции Пирсона в соответствии с формулой

где x_i - значения, принимаемые в выборке X; - его математическое ожидание; y_i - значения, принимаемые в выборке Y; - его математическое ожидание.

Таким образом, значения x представляют собой эталонное значение образа, а y - значения отсчетов, поступающих с информационного входа системы. Данный коэффициент корреляции позволяет оценить степень схожести эталонного и реального образов. Выходом данного блока является числовое значение коэффициента корреляции, которое поступает на вход блока принятия решения.

Блок расчета коэффициента корреляции содержит блок сумматора 11-1, блок корневого сумматора 11-2 и делитель 11-3, при этом входы блока сумматора 11-1 и блока корневого сумматора 11-2 объединены и являются входами блока расчета коэффициента корреляции, а выходы блока сумматора 11-1 и блока корневого сумматора 11-2 связаны с входами делителя 11-2, выход которого является выходом данного блока (фиг.2).

Блок сумматора содержит два вычитателя 11-1-1 и 11-1-2, умноженитель 11-1-3 и сумматор произведения 11-1-4, при этом два входа первого вычитателя 11-1-1 два входа второго вычитателя 11-1-2 являются входами данного блока, причем выходы первого и второго вычитателей 11-1-1 и 11-1-2 соединены с умножителем 11-1-3, выход которого подключен к сумматору произведения 11-1-4, выход которого является выходом данного блока (фиг.3).

Блок корневого сумматора содержит два вычитателя 11-2-1 и 11-2-2, два квадратора 11-2-3 и 11-2-4, два блока суммы квадратов 11-2-5 и 11-2-6, умножитель 11-2-7 и блок извлечения квадратного корня 11-2-8, при этом первый и второй входы блока корневого сумматора, а также третий и четвертый входы блока корневого сумматора подключены к первому и второму блоку разности 11-2-1 и 11-2-2 соответственно, и являются входами данного блока, а выходы первого блока разности 11-2-1 через квадратор 11-2-3 и блок суммы квадратов 11-2-5 подключен к первому входу умножителя 11-2-7, выходы второго блока разности 11-2-2 через квадратор 11-2-3 и блок суммы квадратов 11-2-6 подключен ко второму входу умножителя 11-2-7, выход умножителя соединен с входом блока извлечения квадратного корня 11-2-8, выход которого является выходом данного блока (фиг.4).

Блок принятия решения 12 состоит из четырех блоков сравнения 12-1, 12-2, 12-3 и 12-4, при этом на вход первого блока сравнения 12-1 поступает значение с блока расчета коэффициента корреляции. В нем осуществляется сравнение входного значения с константой 0,5. Если значение больше 0,5, то значение передается на блок сравнения с константой 0,7 12-2. При превышении значения 0,7 принимается решение о сильной корреляции, либо о средней - значения в интервале от 0,5 до 0,7. В случае, если значение меньше 0,5, то оно передается на блок сравнения с константой 0,13 - 12-3. Если значение меньше 0,13, то принимается решение о очень слабой корреляции, если больше, то значение передается на блок сравнения с константой 0,3 - 12-4. При превышении значения 0,3 принимается решение об умеренной корреляции, в противном случае - о слабой (фиг.5).

В качестве математической модели используется модель авторегрессии Бокса-Дженкинса, которая представляет собой фильтр авторегрессии, выражение 3. Таким образом, задача получения математической модели сводится к задаче расчета весовых коэффициентов фильтра авторегрессии. Процесс получения математической модели включает в себя следующие этапы. Расчет математического ожидания времени прихода единиц трафика. Для расчета данного параметра используется "Способ и устройство для прогнозирования трафика в системе связи", патент № 2258316, класс H04L 12/56, 25.04.2003, известное из предшествующего уровня техники.

Прореживающие логические схемы и счетчики, лежащие в основе данного устройства, позволяют сформировать вариационный ряд. В простейшем случае вариационный ряд может быть представлен таблицей, первый столбец которой содержит всевозможные значения (варианты) x_i генеральной совокупности, а во втором - числа n_i, т.е. частоты появления i-го значения.

Описание такого ряда, например, приведено в источнике [Я.К.Колде "Практикум по теории вероятностей и математической статистике". - М.: Высшая школа, 1991, с.157]. Пример вариационного ряда представлен в таблице.

Отношение n_i/n является относительной частотой и отражает вес того или иного значения в выборке. Сумма относительных частот равна единице.

Для расчета математического ожидания, если имеется вариационный ряд, используется следующая формула:

где n - объем выборки, а m - количество вариантов.

Следующий этап - расчет автокорреляционной функции. Автокорреляционная функция для процесса x(t), представленного в дискретном виде как ряд значений x_i, называется неслучайная функция от двух аргументов: x_t, х_t-k, где х_t-k - значение ряда с отставанием в k отсчетов. В силу специфики решаемых задач для расчета автокорреляционной функции использовано выражение (6) для выборки объемом n отсчетов, где - среднее для n отсчетов, полученное из выражения (5).

Для дальнейших расчетов необходимо провести нормировку автокорреляционной функции по формуле

Авторегрессионые параметры и автокорреляционная последовательность связаны системой линейных уравнений (2). Таким образом, если задана автокорреляционная последовательность, то параметры авторегрессии можно найти, как решение системы линейных уравнений, которые называются уравнениями Юла-Уолкера. Алгоритм и подпрограмма решения уравнений, например, приведены в источнике [С.Л.Марпл. Цифровой спектральный анализ и его приложения: Пер. с англ. - М.: Мир, 1990. - 584 с.]. Количество требуемых для решения системы линейных уравнений вычислительных операций пропорционально величине р², поэтому на данном этапе необходимо определить, какое количество параметров авторегрессии должно присутствовать в эффективной и экономичной модели процесса. На практике, как правило, используют модель второго порядка, что позволяет получить приемлемое соотношение между точностью расчета и вычислительными затратами. Вследствие этого система уравнений (2) будет иметь вид

После того как на интервале наблюдения определены значения параметров модели авторегрессии, становится возможным получение прогнозной оценки времени прихода к+1,2…n единицы трафика. Для получения прогноза используется фильтр авторегрессии второго порядка, так как р=2. Физически эту модель реализует рекурсивный цифровой фильтр порядка р, именуемый БИХ фильтром, т.е. фильтром с бесконечной импульсной характеристикой. Описание такого фильтра, например, приведено в источнике [Густав Олссон, Джангуидо Пиани. Цифровые системы автоматизации и управления. - СПб.: Невский диалект, 2001. - 557 с.].

Для получения прогнозной оценки времени прихода очередной единицы трафика может использоваться БИХ фильтр, описываемый следующим выражением

Процесс функционирования системы включает в себя три этапа.

Первый этап. Производится формирование эталонного профиля нагрузки (формирование образов), то есть осуществляется обучение системы авторегрессии скользящего среднего.

Для получения прогнозной оценки времени прихода единиц трафика необходим некоторый интервал времени для набора статистических данных и обучения системы. Интервал времени, в течение которого производится настройка системы, зависит от скорости трафика и должен быть достаточно большим по отношению к скорости самого медленного трафика из возможных. Для качественной настройки авторегрессионой модели необходимо, чтобы интервал наблюдения включал сто и более отсчетов времени прихода единиц трафика. Профиль нагрузки формируется на основе статистической выборки включающей, например, временные интервалы прихода единиц трафика.

В исходном состоянии после включения питания, единицы трафика (например, поток ячеек данных системы ATM) направляются на вход системы анализа сетевого трафика. Ключи первый, второй, третий и четвертый - в исходном состоянии. Сто отсчетов трафика поступают через первый ключ 1 на блок фильтрации трафика 2, где осуществляется расчет математического ожидания времени их прихода в соответствии с формулой (5), где x_i - значения отсчетов единиц трафика, n_i - частоты появления i-го значения, n - объем выборки, a m - количество вариантов.

Математическое ожидание этих отсчетов с первого информационного выхода блока фильтрации трафика 2 через второй ключ 3 поступает на первый информационный вход блока расчета автокорреляционной функции 6, на второй вход которого через третий ключ 5 поступают текущие значения этих отсчетов с выхода первого ключа 1, одновременно поступающие и на второй информационный вход блока фильтра авторегрессии, - осуществляется процесс обучения системы. Блок расчета автокорреляционной функции вычисляет значение функции автокорреляции в соответствии с формулой (6), где x_t-k - значение ряда с отставанием в к отсчетов, х_t - значение текущего отсчета. Далее в блоке расчета параметров авторегрессии осуществляется нормирование автокорреляционной функции по формуле (7). Параметры авторегрессии определяют с помощью системы линейных уравнений, которые называются уравнениями Юла-Уолкера. Существует реализация данного непосредственно самого блока расчета параметров авторегрессии на основе цифрового процессора TMS320C [Корнеев В.В., Киселев А.В. Современные микропроцессоры. - М.: Нолидж, 2000. - 320 с.]. После того как на интервале наблюдения определены значения параметров модели авторегрессии, становится возможным получение прогнозной оценки времени прихода к+1,2…n единицы трафика.

Физически эту модель реализует рекурсивный цифровой фильтр порядка р с бесконечной импульсной характеристикой.

На втором информационном выходе блока фильтрации трафика 2 установлен счетчик 100 импульсов 4, который срабатывает единожды по приходу сотой единицы трафика (завершение этапа обучения системы авторегрессии скользящего среднего). Его обнуление возможно лишь после выключения питания в системе.

Значения математического ожидания единиц трафика с первого информационного выхода блока фильтрации трафика 2, а также с выхода первого ключа 1 поступают через четвертый ключ 10 на блок расчета коэффициента корреляции 11, но операции с ними не производятся.

После приема ста отсчетов на выходе блока фильтра авторегрессии 8 появится 100+1 спрогнозированный отсчет единицы трафика, который поступает на второй информационный вход первого ключа 1.

Так как схема содержит счетчик 100 импульсов 4, то после прихода сотого отсчета трафика он выдаст управляющую команду на третий ключ 5, а также команду включения на блок управления ключами 9. Третий ключ 5 срабатывает единожды после получения логической единицы от счетчика 4. Блок управления ключами 9 представляет собой электронный ключ, работающий на частоте вдвое большей, чем частота входящих импульсов, срабатывая дважды за один временной промежуток. Это необходимо для того, чтобы за первый полутакт осуществить расчет параметров эталонного образа, а за второй полутакт рассчитать параметры реального образа. Блок управления ключами 9 подает управляющую команду на первый 1, второй 3 и четвертый 10 ключи.

Второй этап. Первый полутакт. По окончании процесса обучения системы спрогнозированная сто первая единица трафика находится на втором информационном входе первого ключа 1. Ключи первый 1, второй 3 и четвертый 10 - в исходном состоянии. Ключ третий 5 - переключен.

Сто первый отсчет трафика поступает через первый ключ 1 на информационный вход блока фильтрации трафика 2, с первого информационного выхода которого значение математического ожидания времени прихода сто первой единицы трафика поступает через первый информационный вход четвертого ключа 10 на вход блока расчета коэффициента корреляции 11. Также, сто первый отсчет трафика с выхода первого ключа 1 через второй информационный вход четвертого ключа поступает в блок расчета коэффициента корреляции 11.

Таким образом, время прихода реального сто первого отсчета трафика и значение его математического ожидания записываются в блок расчета коэффициента корреляции. Эти параметры составляют реальный образ источника нагрузки.

Третий этап. Второй полутакт. Ключи первый 1, второй 3 и четвертый 10 -переключены. Со второго входа первого ключа 1 спрогнозированное значение времени прихода сто первого отсчета поступает на блок фильтрации трафика 2 и одновременно через второй информационный вход четвертого ключа 10 записывается в блок расчета коэффициента корреляции 11. Математическое ожидание времени прихода этой единицы трафика через второй ключ 3 поступает на первый информационный вход блока расчета автокорреляционной функции 6 и одновременно через четвертый ключ 10 в блок расчета коэффициента корреляции 11. Так как на втором информационном входе блока расчета автокорреляционной функции 6 находилось спрогнозированное значение сто первого отсчета то в момент появления на первом информационном входе этого блока математического ожидания спрогнозированного сто первого отсчета, осуществляется процесс прогнозирования сто второго отсчета. С выхода блока фильтра авторегрессии 8 спрогнозированное значение сто второго отсчета поступит на второй информационный вход первого ключа 1, на второй информационный вход блока расчета автокорреляционной функции 6 и на второй информационный вход блока фильтра авторегрессии. Таким образом, после второго полутакта в блоке расчета коэффициента корреляции 11 окажутся записанные на первом полутакте параметры реального и полученные на втором полутакте параметры эталонного трафика. Блок расчета коэффициента корреляции 11 выполняет расчет в соответствии с формулой (4), где x_i соответствует x_i - значения реального трафика, - его математическому ожиданию, x_{i образ} соответствует y_i - значению эталонного трафика, - его математическому ожиданию.

На выход данного блока поступает значение коэффициента корреляции, которое далее предается на блок принятия решения 12, где происходит его сравнение с пороговым значением блоков сравнения и принимается решение о соответствии эталонного и реального профиля. Возможны следующие варианты: Сильная корреляция; Средняя; Умеренная; Слабая; Очень слабая.

Сильная корреляция говорит о высокой степени схожести образов реального и эталонного трафика - атаки нет, Среднее значение говорит о малой вероятности атаки, умеренная - о возможной атаке, слабая - о вероятной атаке, а очень слабая может говорить об атаке или смене легального поведения источника нагрузки.

Достоинством предложенной схемы является использование стандартных схем и алгоритмов, используемых для прореживания трафика в узлах коммутации. Однако некоторая доработка данных схем позволяет получить новое качество, а именно статистический анализатор трафика, который позволяет определить нетипичное поведения источника нагрузки, которое может быть результатом хакерской атаки.

Благодаря новой совокупности существенных признаков за счет введения новых элементов и связей между ними, появляется возможность осуществлять обнаружение атак в информационно-вычислительных сетях. Новые элементы позволяют построить образы эталонного и реального трафика, определить коэффициент коррелированности этих образов, а также принять решение о степени их линейной зависимости.

Проведенный заявителем анализ уровня техники позволил установить, что аналоги, характеризующиеся совокупностями признаков, тождественным всем признакам заявленной системы анализа сетевого трафика, отсутствуют. Следовательно, заявленное изобретение соответствует условию патентоспособности "Новизна".

Результаты поиска известных решений в данной и смежной областях техники с целью выявления признаков, совпадающих с отличительными от прототипа признаками заявленного изобретения, показали, что оно не следует явным образом из уровня техники. Из определенного заявителем уровня техники не выявлена известность влияния предусматриваемых существенными признаками заявленного изобретения на достижение указанного технического результата. Следовательно, заявленное изобретение соответствует условию патентоспособности "Изобретательский уровень".

Предлагаемая система может быть установлена на коммутационном оборудовании в качестве средства защиты от атак в информационно-вычислительных сетях.

1. Система анализа сетевого трафика, содержащая блок фильтрации трафика для расчета математического ожидания времени прихода единиц трафика, блок расчета автокорреляционной функции, блок расчета параметров авторегрессии, блок фильтра авторегрессии, при этом первый информационный выход блока фильтрации трафика подключен к первому информационному входу блока расчета автокорреляционной функции, а второй информационный выход блока фильтрации трафика подключен ко второму информационному входу блока расчета автокорреляционной функции и второму информационному входу блока фильтра авторегрессии, информационный выход блока расчета автокорреляционной функции соединен с информационным входом блока расчета параметров авторегрессии, а информационный выход блока расчета параметров авторегрессии соединен с первым информационным входом блока фильтра авторегрессии, выход которого является выходом системы, отличающаяся тем, что в нее введены четыре ключа, счетчик, блок расчета коэффициента корреляции, блок принятия решения, блок управления ключами, причем к информационным входам первого ключа подключены канал связи и информационный выход блока фильтра авторегрессии, а первый информационный выход блока фильтрации трафика подключен ко входу второго ключа и первому входу четвертого ключа, а выход второго ключа соединен с первым входом блока расчета автокорреляционной функции, при этом второй информационный выход блока фильтрации трафика через счетчик подключен к управляющему входу блока управления ключами, управляющему входу третьего ключа, а информационный выход третьего ключа соединен со вторым информационным входом блока расчета автокорреляционной функции и вторым информационным входом блока фильтра авторегрессии, выход первого ключа соединен с первым информационным входом блока фильтрации трафика, с первым информационным входом третьего ключа, блоком управления ключами и вторым информационным входом четвертого ключа, выходы которого связаны с блоком расчета коэффициентов корреляции, а информационный выход блока расчета коэффициентов корреляции соединен с информационным входом блока принятия решения, выходы которого являются выходами системы, выход блока фильтра авторегрессии соединен со вторым информационным входом третьего ключа, причем выход блока управления ключами соединен с управляющими входами первого, второго и четвертого ключей.

2. Система по п.1, отличающаяся тем, что блок расчета коэффициента корреляции содержит блок сумматора, блок корневого сумматора и делитель, при этом входы блока сумматора и блока корневого сумматора объединены и являются входами блока расчета коэффициента корреляции, а выходы блока сумматора и блока корневого сумматора связаны со входами делителя, выход которого является выходом данного блока.

3. Система по п.1, отличающаяся тем, что блок принятия решения состоит из четырех блоков сравнения, при этом вход первого блока сравнения является входом данного блока, причем один выход первого блока сравнения соединен со вторым входом блоком сравнения, выходы которого являются первым и вторым выходами данного блока, а второй выход первого блока соединен с входом третьего блока сравнения, один выход которого является третьим выходом блока принятия решения, а второй выход соединен с входом четвертого блока сравнения, выходы которого являются четвертым и пятым выходами блока принятия решения.

4. Система по п.2, отличающаяся тем, что блок сумматора содержит два вычитателя, умножитель и сумматор произведения, при этом два входа первого вычитателя, два входа второго вычитателя являются входами данного блока, причем выходы первого и второго вычитателей соединены с умножителем, выход которого подключен к сумматору произведения, выход которого является выходом данного блока.

5. Система по п.2, отличающаяся тем, что блок корневого сумматора содержит два вычитателя, два квадратора, два блока суммы квадратов, умножитель и блок извлечения квадратного корня, при этом первый и второй входы блока корневого сумматора, а также третий и четвертый входы подключены к первому и второму блокам разности соответственно и являются входами данного блока, а выходы первого блока разности через квадратор и блок суммы квадратов подключены к первому входу умножителя, выходы второго блока разности через квадратор и блок суммы квадратов подключен ко второму входу умножителя, выход умножителя соединен со входом блока извлечения квадратного корня, выход которого является выходом данного блока.