Способ защиты информационно-вычислительных сетей от компьютерных атак

Изобретение относится к электросвязи и может быть использовано в системах защиты от компьютерных атак путем их оперативного выявления и блокирования в информационно-вычислительных сетях (ИВС). Техническим результатом является повышение достоверности обнаружения компьютерных атак на ИВС. Способ содержит этапы, на которых: формируют список доверенных адресов получателя и отправителя пакетов сообщений, формируют проверочный пакет, для чего считывают адрес отправителя D и адрес получателя Ij и записывают в поле «Время жизни пакета» TTL начальное значение, равное единице, после чего запоминают сформированный пакет Pij в массив Р, задают значение количества Кдоп полученных ответных пакетов о недоставленном пакете Pij с текущим значением поля «Время жизни пакета» TTL, затем передают сформированный пакет в канал связи. 4 ил.

 

Изобретение относится к электросвязи и может быть использовано в системах защиты от компьютерных атак путем их оперативного выявления и блокирования в информационно-вычислительных сетях (ИВС).

Известен способ защиты от компьютерных атак, реализованный в патенте РФ №2179738 «Способ обнаружения удаленных атак в компьютерной сети», класс G06F 12/14, заявл. 24.04.2000.

Данный способ включает следующую последовательность действий. Наблюдение за информационным потоком адресованных абоненту ИВС пакетов сообщений, включающее постоянно возобновляемый подсчет числа пакетов, выполняемый в пределах серии пакетов, поступающих из канала связи (КС) подряд друг за другом через промежутки времени не более заданного. При этом проверку поступающих пакетов данных на соответствие заданным правилам выполняют каждый раз, когда размер очередной наблюдаемой серии достигает критического числа пакетов.

Недостатками данного способа являются узкая область применения, что обусловлено его предназначением в основном для защиты от подмены одного из участников соединения, и недостаточная достоверность при обнаружении других типов компьютерных атак.

Известен способ оперативного динамического анализа состояний многопараметрического объекта, описанный в патенте РФ №2134897, опубликованном 20.08.1999, позволяющий по изменению состояния элемента ИВС обнаруживать компьютерные атаки. В известном способе преобразуют результаты допусковой оценки разнородных динамических параметров в соответствующие информационные сигналы с обобщением по всему множеству параметров в заданном временном интервале и определяют относительную величину и характер изменения интегрального состояния многопараметрического элемента ИВС.

Недостатком данного способа является узкая область применения, обусловленная тем, что несмотря на возможность оперативной диагностики технического и функционального состояний многопараметрического элемента ИВС в нем применяют ограниченную совокупность признакового пространства, что создает условия для пропуска удаленных компьютерных атак (см. Медведовский И.Д. и др. Атака на Internet. - М.: ДМК, 1999. - 336 с.: ил.) и, как следствие, приводит к снижению устойчивости функционирования ИВС.

Известен способ защиты от компьютерных атак, реализованный в устройстве по патенту РФ №2219577 «Устройство поиска информации», класс G06F 17/40, опубликованном 24.04.2002. Способ заключается в том, что принимают из КС i-й пакет, где i=1,2,3,…, и запоминают его. Принимают (i+1)-й пакет, запоминают его. Выделяют из заголовка i-го и (i+1)-го пакетов идентификационные признаки, анализируют их на предмет совпадения и по результатам анализа принимают решение о факте наличия компьютерной атаки.

Недостатком данного способа является относительно низкая устойчивость функционирования ИВС в условиях воздействия компьютерных атак, связанная с тем, что сравнением двух пакетов сообщений - последующего и предыдущего, распознается только одно семейство компьютерных атак - "шторм" ложных запросов на установление соединения, тогда как компьютерные атаки других типов, обладающие высокими деструктивными возможностями, не распознаются.

Наиболее близким по технической сущности к предлагаемому способу является способ защиты информационно-вычислительных сетей от компьютерных атак по патенту RU №2285287, МПК G06F 12/14 H06F 12/22. Опубл. 10.10.2006 г., бюл. №28. Способ заключается в следующих действиях: принимают i-й, где i=1,2,3…, пакет сообщения из канала связи, запоминают его, принимают (i+1)-й пакет сообщения, запоминают его, выделяют и запомненных фрагментированных пакетов сообщений характеризующие их параметры, вычисляют необходимые параметры для сравнения принятых фрагментированных пакетов и по результатам сравнения принимают решение о факте наличия или отсутствия компьютерной атаки.

Недостатком способа-прототипа является относительно низкая достоверность обнаружения компьютерных атак, обусловленная тем, что определяются только активные компьютерные атаки, что может привести к перехвату передаваемых данных в информационно-вычислительную сеть по внешней сети.

Целью заявленного технического решения является разработка способа защиты информационно-вычислительных сетей от компьютерных атак, обеспечивающего повышение достоверности обнаружения компьютерных атак на информационно-вычислительную сеть за счет определения информации о ведении всех видов компьютерных атак, в том числе и пассивных, путем передачи проверочных пакетов и анализа ответных пакетов от маршрутизаторов внешней сети, используемых на маршруте передачи пакетов сообщения.

В заявленном изобретении поставленная цель достигается тем, что в известном способе защиты информационно-вычислительных сетей от компьютерных атак формируют массив для запоминания пакетов сообщения и массивы для запоминания параметров, выделенных из запомненных пакетов сообщений, принимают пакет сообщения из канала связи, запоминают его, анализируют запомненный пакет на обнаружение факта наличия или отсутствия компьютерной атаки и принимают решение о наличии компьютерной атаки при выполнении определенного условия, дополнительно формируют список доверенных адресов получателя и отправителя пакетов сообщений, в качестве используемых параметров пакетов сообщений используют поля данных: «IP адрес назначения», «IP адрес источника», которые запоминают в сформированных для них массивах {D}, {I}. Затем формируют проверочный пакет, для чего считывают адрес отправителя Di и адрес получателя Ij из массивов D, I и записывают их в соответствующие поля проверочного пакета сообщения. Записывают в поле «Время жизни пакета» TTL начальное значение, равное единице. После чего запоминают сформированный пакет Pij в массив Р. Задают значение количества Kдоп полученных ответных пакетов о недоставленном пакете Pij с текущим значением поля «Время жизни пакета» TTL. Затем передают сформированный пакет в канал связи. После запоминания принятых ответных пакетов о недоставленном пакете Pij от промежуточных маршрутизаторов в течение времени Δt для обнаружения факта атаки или ее отсутствия выделяют из ответного пакета значения полей: «IP адрес источника», являющееся адресом промежуточного маршрутизатора, и «Данные», имеющее адреса назначения Di, источника Ii, и запоминают их в соответствующих массивах, а также увеличивают количество принятых ответных пакетов K на единицу. Затем сравнивают количество принятых ответных пакетов K с заданным значением Kдоп, причем устанавливают факт отсутствия атаки, если выполняется условие K≤Kдоп, при этом формируют следующий проверочный пакет Pij с адресом отправителя Di, получателя Ij и новым значением поля «Время жизни пакета» TTL, которое увеличивают на единицу, и передают сформированный пакет в канал связи, а факт наличия атаки устанавливают, если выполняется условие K>Kдоп.

Новая совокупность существенных признаков позволяет достичь указанного технического результата за счет определения информации о ведении всех видов компьютерных атак, в том числе и пассивных, путем передачи проверочных пакетов и анализа ответных пакетов от маршрутизаторов внешней сети используемых на маршруте передачи пакетов сообщения.

Существующие угрозы безопасности информации могут быть реализованы путем использования протоколов межсетевого взаимодействия при построении распределенной ИВС, состоящей из нескольких сегментов, которые взаимодействуют через внешнюю сеть (сеть общего пользования). При этом данные угрозы реализуются за счет проведения компьютерных атак, которые могут быть активными и пассивными. Особую опасность представляют пассивные компьютерные атаки, которые не оказывается непосредственное влияние на работу ИВС, но при этом могут быть нарушены установленные правила разграничения доступа к данным или сетевым ресурсам. Примером является компьютерная атака «Анализ сетевого графика», направленная на прослушивание каналов связи и перехват передаваемой информации [Руководящий документ. Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных. ФСТЭК России. 2008, стр.33-49].

В предлагаемом изобретении используется принцип трассировки маршрута прохождения пакетов по внешней сети, заложенный в процедурной характеристике протокола IP и ICMP.

Заявленный способ поясняется чертежами, на которых показаны:

на Фиг.1 схема, поясняющая порядок передачи тестовых пакетов и приема ответных пакетов в ИВС;

на Фиг.2 заголовок IP дейтаграммы;

на Фиг.3 заголовок ICMP дейтаграммы;

на Фиг.4 блок-схема алгоритма способа защиты ИВС от компьютерных атак.

Реализацию заявленного способа можно пояснить на схеме информационно-вычислительной сети, показанной на фиг.1.

Защищаемая ИВС 1 подключена к внешней сети 2 посредством маршрутизатора 2.11. В общем случае защищаемая ИВС 1 представляет собой совокупность ПЭВМ 1.11-1.1N, периферийного и коммуникационного оборудования 1.2 и 1.3, объединенного физическими линиями связи. Все эти элементы имеют идентификаторы, в качестве которых в наиболее распространенном стеке протоколов ТСР/IP используются сетевые адреса (IP-адреса). Внешняя сеть представлена набором маршрутизаторов 2.12-2.16, осуществляющих транспортировку информационных потоков из одной защищаемой ИВС в другую.

Структура пакетов сообщений известна, как известен и принцип передачи пакетов в вычислительных сетях. Например, на фиг.2 представлена структура заголовка IP-пакетов сообщений, где выделены поля: времени жизни пакета, адресов отправителя и получателя пакета сообщений [RFC 791, Internet Protocol, 1981, сентябрь, стр.11-22].

При прохождении пакетов через внешнюю сеть осуществляется его маршрутизация от источника к получателю в соответствии с IP адресом назначения. Кроме того, источник задает время жизни пакета, и при прохождении каждого маршрутизатора данное время уменьшается на единицу. Данное поле позволяет уменьшить возможность перегрузки сети. Максимальное значение времени жизни является 255, так как под это поле в заголовке IP пакета отводится два байта. Соответственно, если маршрутизатор обнаруживает пакет с нулевым значение поля времени жизни, он его удаляет и сообщает об этом источнику данного пакета специально сформированным пакетом протокола ICMP (фиг.3) [RFC 792, Internet Control Message Protocol, 1981, сентябрь, стр.2-5]. Таким образом, на один удаленный пакет источник пакета получит одно ICMP сообщение от промежуточного маршрутизатора о данном действии, если принято два и более ICMP сообщений от разных промежуточных маршрутизаторов, это означает тиражирование пакетов, что в свою очередь является признаком возможного перехвата передаваемого графика.

На фиг.4 представлена блок-схема последовательности действий, реализующих алгоритм способа защиты ИВС от компьютерных атак. После того как будут сформированы массивы {Р}, {D}, {I}, а также список доверенных адресов отправителей и получателей сообщений (блок 1-3 фиг.4), задают значение допустимого количества ICMP сообщений на пакет удаленный во внешней сети Кдоп=1 (блок 4, фиг.4). Затем формируют проверочный пакет со значением поля временем жизни равным единице, заданными адресами источника и получателя сообщения, запоминают его в массив Pij и передают его в канал связи через внешнюю сеть 2 (блок 5-11, фиг.4). Осуществляется прием ответных пакетов протокола ICMP из канала связи о недоставленном пакете Pij от промежуточного маршрутизатора за время Δt (блок 12-17, фиг.4). Если при подсчете количества ответных пакетов их получено больше чем Кдоп принимается решение о наличии компьютерной атаки (блок 18-20, фиг.4). Иначе производится увеличение значения поля времени жизни пакета на единицу и отправка очередного проверочного пакета (блок 8-11, фиг.4). Проверка наличия компьютерной атаки осуществляется до выполнения условия, при котором проверочный пакет достиг конечного узла назначения (блок 21, фиг.4).

На фиг.1 поясняется порядок передачи проверочных пакетов (ПП) и приема ответных пакетов (ОП) по маршруту, включающему четыре маршрутизатора 2.12-2.15. Первый проверочный пакет ПП 1 со значением поля времени жизни пакета, равным одному переприему, передается по внешней сети 2 до маршрутизатора 2.12, на котором происходит удаление данного пакета и передача ответного пакета ОП 1 источнику, имеющего формат протокола ICMP и содержащего информацию об удаленном пакете.

В случае приема только одного ответного пакета ОП 1 формируется следующий проверочный пакет ПП 2 со значением поля времени жизни пакета, равным двум, т.е. пакет будет удален на втором транзитном маршрутизаторе, и передается по внешней сети 2. На маршрутизаторе 2.13 данный пакет удаляется и передается ответный пакет ОП 2 на ИВС 1.

При приеме только одного ответного пакета ОП 2 формируют следующий проверочный пакет ПП 3 со значением поля времени жизни пакета, равным трем переприемам, и передается по внешней сети 2. На маршрутизаторе 2.14 данный пакет удаляется и передается ответный пакет ОП 3 на ИВС 1.

В случае приема только одного ответного пакета ОП 3 формируется следующий проверочный пакет ПП 4 со значением поля времени жизни пакета, равным четырем переприемам, и передается по внешней сети 2. На маршрутизаторе 2.15 данный пакет удаляется и передается ответный пакет ОП4 на ИВС 1. Кроме того, при перехвате передаваемого трафика с маршрутизатора 2.16, не принадлежащего маршруту передачи проверочных пакетов, будет так же передан ответный пакет ОП 4, содержащий информацию об удаленном пакете ПП 4 на ИВС 1.

При получении двух ответных пакетов ОП 4 выполняется условие K>Kдоп, при котором принимается решение о наличии компьютерной атаки, и прекращается дальнейшая передача проверочных пакетов.

Таким образом, заявленный способ за счет определения информации о ведении всех видов компьютерных атак, в том числе и пассивных, путем передачи проверочных пакетов и анализа ответных пакетов от маршрутизаторов внешней сети, используемых на маршруте передачи пакетов сообщения, позволяет повысить достоверность обнаружения компьютерных атак на информационно-вычислительную сеть.

Способ защиты информационно-вычислительных сетей от компьютерных атак, заключающийся в том, что формируют массив для запоминания пакетов сообщения и массивы для запоминания параметров, выделенных из запомненных пакетов сообщений, принимают пакет сообщения из канала связи, запоминают его, анализируют запомненный пакет на обнаружение факта наличия или отсутствия компьютерной атаки и принимают решение о наличии компьютерной атаки при выполнении определенного условия, отличающийся тем, что дополнительно формируют список доверенных адресов получателя и отправителя пакетов сообщений, в качестве используемых параметров пакетов сообщений используют поля данных: «IP адрес назначения», «IP адрес источника», которые запоминают в сформированных для них массивах {D}, {I}, затем формируют проверочный пакет, для чего считывают адрес отправителя Di, где i=1, 2,…, и адрес получателя Ij, где j=1, 2,…, из массивов {D}, {I} и записывают их в соответствующие поля проверочного пакета сообщения, записывают в поле «Время жизни пакета» TTL начальное значение, равное единице, после чего запоминают сформированный пакет Pij в массив Р, задают значение количества Кдоп полученных ответных пакетов о недоставленном пакете Pij с текущим значением поля «Время жизни пакета» TTL, затем передают сформированный пакет в канал связи, после запоминания принятых ответных пакетов о недоставленном пакете Pij от промежуточных маршрутизаторов в течение времени Δt для обнаружения факта атаки или ее отсутствия выделяют из ответного пакета значения полей: «IP адрес источника», являющееся адресом промежуточного маршрутизатора, и «Данные», имеющее адреса назначения Di, источника Ii и запоминают их в соответствующих массивах, а также увеличивают количество принятых ответных пакетов К на единицу, затем сравнивают количество принятых ответных пакетов К с заданным значением Кдоп, причем устанавливают факт отсутствия атаки, если выполняется условие К≤Кдоп, при этом формируют следующий проверочный пакет Pij с адресом отправителя Di, получателя Ij и новым значением поля «Время жизни пакета» TTL, которое увеличивают на единицу, и передают сформированный пакет в канал связи, а факт наличия атаки устанавливают, если выполняется условие К>Кдоп.



 

Похожие патенты:

Изобретение относится к области защиты информации и может быть использовано для создания и предоставления цифровых удостоверений пользователю. .
Изобретение относится к области компьютерной техники и информационных технологий. .

Изобретение относится к области использования устройства флэш-памяти для препятствования несанкционированному использованию программного обеспечения. .

Изобретение относится к электросвязи и может быть использовано в системах защиты от компьютерных атак путем их оперативного выявления и блокирования в информационно-вычислительных сетях.
Изобретение относится к области защиты от несанкционированного доступа (НСД) к информации, хранимой в компьютерных системах (КС), в особенности в системах терминального доступа (СТД).

Изобретение относится к вычислительной технике. .

Изобретение относится к цифровым информационным системам, к способам и системам защиты цифровых информационных систем от несанкционированного вмешательства. .

Изобретение относится к системам и способам проверки потока данных, передающихся по сети, на наличие угроз

Изобретение относится к системам и способам безопасной передачи данных в небезопасных сетях. Технический результат заключается в повышении уровня защиты данных при передаче в небезопасных сетях. Такой результат достигается тем, что способ безопасной передачи данных в незащищенных сетях между компьютером и сетевым ресурсом включает этапы, на которых устанавливают первое защищенное соединение между средством безопасной передачи данных и компьютером; собирают данные об используемых сетевых соединениях на компьютере; устанавливают второе защищенное соединение между средством безопасной передачи данных и сервером безопасности, используя данные об используемых сетевых соединениях на компьютере; используют установленные первое и второе защищенные соединения для безопасной передачи данных. 4 н. и 12 з.п. ф-лы, 5 ил.

Изобретение относится к вычислительной технике, в частности к способам защиты информации от вредоносных программ. Техническим результатом является обеспечение безопасности вычислительных устройств за счет автоматизированного анализа исполняемого кода. Способ автоматической идентификации вредоносных программ включает в себя прием, посредством базы знаний экспертной системы, последовательности на языке ассемблера из двоичного файла. Далее согласно способу осуществляют идентификацию последовательности инструкций из принимаемой последовательности. А также осуществляют классификацию, посредством базы знаний экспертной системы, последовательности инструкций как угрожающей, неугрожающей или не поддающейся классификации посредством применения одного или более правил базы знаний экспертной системы к последовательности инструкций. При этом последовательность инструкций классифицируют как угрожающую, если она включает в себя: процедуры шифрования, процедуры расшифровки, инструкции для репликации части последовательности инструкций. Если последовательность инструкций классифицирована как угрожающая, информация может быть передана в компонент анализа кода, и пользователь может быть уведомлен о том, что двоичный файл включает в себя вредоносные программы. 5 н. и 16 з.п. ф-лы, 6 ил.

Изобретение относится к вычислительной технике. Технический результат заключается в повышении защищенности информации за счет совместного применения нескольких факторов аутентификации пользователей. Система защиты информации от несанкционированного доступа к информации, содержащей сведения, составляющие государственную тайну, содержит множество систем защиты информации пользователей, множество автоматизированных рабочих мест пользователей и функциональных серверов, сетевую магистраль, сервер-контроллер домена, сервер безопасности и базу данных сервера безопасности, по крайней мере, одно автоматизированное рабочее место администратора и одну систему защиты информации администратора, причем каждая система защиты информации пользователя содержит агент безопасности, систему разделения доступа пользователя и базу данных средств усиленной аутентификации пользователя, система защиты информации администратора содержит агент-администратор безопасности, систему разделения доступа администратора безопасности и базу данных средств усиленной аутентификации администратора, при этом автоматизированные рабочие места пользователей дополнительно содержат аппаратно-программные модули доверенной загрузки, кроме того, все автоматизированные рабочие места содержат средства усиленной аутентификации. 1 з.п. ф-лы, 1 ил.

Изобретение относится к вычислительной технике, в частности к средствам защиты от несанкционированного доступа к информации. Технический результат заключается в повышении надежности устройства хранения данных и обеспечении более высокой степени безопасности хранения информации. Устройство хранения данных содержит блок управления, первая группа входов-выходов которого соединена с группой входов-выходов блока памяти, причем дополнительно введены блок коммутации ключевых цепей и блок защиты ключевых цепей, группа входов которого является группой входов устройства хранения данных, а группа выходов соединена с группой входов блока коммутации ключевых цепей, первая группа входов-выходов которого является группой входов-выходов устройства хранения данных, а вторая группа входов-выходов соединена со второй группой входов-выходов блока управления. 2 н. и 3 з.п. ф-лы, 5 ил.

Изобретение относится к вычислительной технике. Технический результат заключается в обнаружении программного кода, использующего уязвимости в программном обеспечении. Способ проверки исполняемого кода перед его выполнением, в котором определяют значения атрибутов страницы памяти в момент ее выделения или модификации атрибутов; сохраняют адрес страницы памяти при одновременно установленных значениях атрибутов страницы памяти, связанных с разрешением на запись и разрешением на выполнение исполняемого кода; меняют, по меньшей мере, один из атрибутов страницы памяти, связанный с разрешением на запись или выполнением исполняемого кода; получают исключение при обращении к странице памяти, адрес которой был сохранен; определяют атрибуты и адрес страницы памяти, при обращении к которой было получено исключение; производят проверку потока процесса, обращение которого к странице памяти вызвало исключение, и/или исполняемого кода, записанного в странице памяти, при обращении к которой было получено исключение. 2 н.п. ф-лы, 7 ил.
Изобретение относится к вычислительной технике и к обеспечению информационной безопасности автоматизированных и информационно-вычислительных систем, в частности к средствам обнаружения вредоносного программного обеспечения (ПО). Техническим результатом является повышение эффективности обнаружения вредоносного ПО за счет обеспечения возможности обнаружения нелегальных перехватов и изменения кода в ядре и загружаемых модулях ядра ОС. Способ реализуется на компьютере с установленной на нем операционной системой (ОС) и заключается в том, что формируют точку прерывания при выполнении системного вызова пользовательского приложения на возникновение передачи управления по адресу в ядре загруженной ОС, проводят проверку структуры данных загруженной ОС, выполняя следующие действия: определяют адрес команды в оперативной памяти компьютера, которой будет передано управление в ходе системного вызова; проверяют принадлежность адресов команд, выполняемых в ходе системного вызова, к нормальному диапазону адресов ядра и модулей ядра ОС в оперативной памяти; судят о наличии вредоносного ПО при отсутствии принадлежности адреса команды к нормальному диапазону адресов.

Группа изобретений относится к области внедрения водяного знака в информационные сигналы. Технический результат заключается в упрощении внедрения водяного знака в информационный сигнал и его обнаружении. Устройство для внедрения водяного знака, подлежащего внедрению во входное информационное представление, включает сумматор информации, который реализуется, чтобы предоставить входному информационному представлению водяной знак и дополнительную информацию, подлежащую добавлению, чтобы получить входное информационное представление, снабженное водяным знаком и дополнительной информацией. Дополнительная информация, подлежащая добавлению, включает описательную информацию, описывающую внедрение, по крайней мере, одного водяного знака во входное информационное представление. 19 н. и 8 з.п. ф-лы, 21 ил.

Изобретение относится к электросвязи и может быть использовано в системах защиты от компьютерных атак путем их оперативного выявления и блокирования в информационно-вычислительных сетях

Наверх