Устройство выявления несанкционированных воздействий на информационную телекоммуникационную систему



Устройство выявления несанкционированных воздействий на информационную телекоммуникационную систему
Устройство выявления несанкционированных воздействий на информационную телекоммуникационную систему

 


Владельцы патента RU 2506644:

Федеральное государственное военное образовательное учреждение высшего профессионального образования "Военный авиационный инженерный университет" (г.Воронеж) Министерства обороны Российской Федерации (RU)

Изобретение относится к области радиотехники и предназначено для исключения утечки и разрушения информации в информационных телекоммуникационных системах. Технический результат изобретения выражается в расширении классов обнаруживаемых несанкционированных воздействий. Сущность изобретения заключается в сравнении анализируемых несанкционированных воздействий с заданными классами несанкционированных воздействий, выявлении новых классов несанкционированных воздействий и их учете в процессе дальнейшей классификации несанкционированных воздействий. Для этого введено устройство ввода исходного количества классов, сумматор, преобразователь кодов, блоки ключей и блок сравнения. При этом выход классификатора несанкционированного воздействия соединен с объединенными первыми входами устройств сравнения блока сравнения, с первым входом базы данных классов несанкционированных воздействий и является выходом устройства выявления несанкционированных воздействий на информационную телекоммуникационную систему, вторые входы j-го устройства сравнения блока сравнения соединены с соответствующими выходами ключей второго блока ключей, выход j-го устройства сравнения блока сравнения подключен к j-му входу логического элемента ИЛИ-НЕ, с выходом которого соединен второй вход ключа, выход ключа подключен ко второму входу базы данных классов несанкционированных воздействий, первые входы ключей второго блока ключей подключены к соответствующим выходам базы данных классов несанкционированных воздействий. 2 ил.

 

Изобретение относится к области радиотехники, в частности, к способам и технике информационной безопасности (ИБ) и может использоваться для исключения утечки и разрушения информации в информационных телекоммуникационных системах (ИТКС).

Известно такое устройство, как нейронная сеть типа многослойный персептрон (фиг.1) (см., например, Хайкин С. Нейронные сети. Полный курс. М.: Вильяме, 2006. - с.219-341; Осовский С. Нейронные сети для обработки информации. М.: ФиС, 2003. - с.46-86; Круглов В.В., Борисов В.В. Искусственные нейронные сети. Теория и практика. - 2-е изд. стереотип. М.: Горячая линия-Телеком, 2002. - с.53-58), включающее блок входного слоя нейронов 1, состоящий из Р нейронов, каждый из которых имеет один вход и один выход, блок промежуточного (скрытого) слоя нейронов 2, состоящий из Q нейронов, каждый из которых имеет Р входов и один выход, блок выходного слоя нейронов 3, состоящий из R нейронов, каждый из которых имеет Q входов и один выход, при этом p-е входы всех нейронов блока промежуточного (скрытого) слоя нейронов объединены и соединены с выходом p-го нейрона блока входного слоя нейронов, где , a q-e входы всех нейронов блока выходного слоя нейронов объединены и соединены с выходом q-го нейрона блока промежуточного скрытого слоя нейронов, где .

Однако указанное устройство-аналог предназначено для обнаружения только одного класса несанкционированных воздействий (НСВ).

Наиболее близким по технической сущности (прототипом к предполагаемому изобретению) является устройство выявления НСВ, представленных вредоносными программами (компьютерными вирусами) (см., например, Bezobrazov, S. Neural networks and artificial immune systems - malware detection tool / S. Bezobrazov // OWD: proceedings of the X International PhD Workshop. - Gliwice, 2008. - с.465-469; Bezobrazov, S. Artifical immune system approach for malware detection: neural networks applying for immune detectors construction / S.Bezobrazov, V.Golovko // International journal of «Computing». - 2008. Vol.7, no.2. - с.44-50), включающее блок детекторов, состоящий из N детекторов (в данном случае N=4), каждый из которых имеет один вход и два выхода, и классификатор, имеющий 2N входов и один выход, при этом (2i-1)-е входы классификатора, где , соединены с первыми выходами каждого детектора блока детекторов, 2i-е входы классификатора соединены со вторыми выходами каждого детектора блока детекторов, а входы всех детекторов блока детекторов объединены.

Однако устройство-прототип имеет ряд недостатков.

Во-первых, обеспечивается выявление только вредоносных программ (вирусов).

Во-вторых, ограничено число классов выявляемых вредоносных программ (вирусов) (N=4).

Задача, на решение которой направлено заявляемое устройство выявления несанкционированных воздействий на информационную телекоммуникационную систему, состоит в обеспечении возможности выявления новых классов НСВ и снятии жестких ограничений на количество обнаруживаемых классов несанкционированных воздействий.

Технический результат изобретения выражается в расширении классов обнаруживаемых НСВ.

Технический результат достигается тем, что в известном устройстве выявления НСВ, включающем блок детекторов, состоящий из N детекторов, каждый из которых имеет один вход и два выхода, и классификатор, имеющий 2N входов и один выход, при этом (2i-1)-e входы классификатора, где , соединены с первыми выходами каждого детектора блока детекторов, 2i-е входы классификатора соединены со вторыми выходами каждого детектора блока детекторов, а входы всех детекторов блока детекторов объединены, дополнительно введены устройство ввода исходного количества классов, сумматор, преобразователь кодов, имеющий N выходов, первый и второй блоки ключей, состоящие из N ключей каждый, блок сравнения, состоящий из N устройств сравнения, логический элемент ИЛИ-НЕ, ключ и база данных классов НСВ, имеющая N выходов, при этом выход устройства ввода исходного количества классов соединен с первым входом сумматора, второй вход которого подключен к выходу логического элемента ИЛИ-НЕ, вход преобразователя кодов и первый вход ключа объединены и соединены с выходом сумматора, j-й выход преобразователя кодов, где , подключен ко второму входу j-го ключа первого блока ключей и второму входу j-го ключа второго блока ключей, первые входы всех ключей первого блока ключей объединены для подачи входного воздействия, выход j-го ключа первого блока ключей соединен с входом соответствующего детектора блока детекторов, выход классификатора соединен с объединенными первыми входами устройств сравнения блока сравнения, с первым входом базы данных классов НСВ и является выходом устройства выявления несанкционированных воздействий на информационную телекоммуникационную систему, вторые входы j-го устройства сравнения блока сравнения соединены с соответствующими выходами ключей второго блока ключей, выход j-го устройства сравнения блока сравнения подключен к j-му входу логического элемента ИЛИ-НЕ, с выходом которого соединен второй вход ключа, выход ключа подключен ко второму входу базы данных классов НСВ, первые входы ключей второго блока ключей подключены к соответствующим выходам базы данных классов НСВ.

Сущность изобретения заключается в сравнении анализируемых несанкционированных воздействий с заданными классами НСВ, выявлении новых классов НСВ и их учете в процессе дальнейшей классификации НСВ.

Структурная схема предложенного устройства выявления несанкционированных воздействий на информационную телекоммуникационную систему приведена на фиг.2.

Предложенное устройство выявления несанкционированных воздействий на информационную телекоммуникационную систему состоит из устройства ввода исходного количества классов 4, сумматора 5, преобразователя кодов 6, первого блока ключей 7, блока детекторов 8, второго блока ключей 9, классификатора 10, базы данных классов НСВ 11, блока сравнения 12, ключа 13 и логического элемента ИЛИ-НЕ 14, соединенных как показано не фиг.2.

Устройство ввода исходного количества классов 4 предназначено для задания известного количества классов НСВ. Сумматор 5 обеспечивает суммирование сигналов, поступающих на его первый и второй входы с выходов устройства ввода исходного количества классов 4 и логического элемента ИЛИ-НЕ 14 соответственно. Преобразователь кодов 6 служит для преобразования кода сигнала с выхода сумматора 5 в код управления первым и вторым блоками ключей 7 и 9. Первый блок ключей 7 в соответствии с сигналами, поступающими из преобразователя кодов 6, подключает входное воздействие ко входам детекторов блока детекторов 8. Блок детекторов 8 определяет наличие во входном воздействии несанкционированной или легальной составляющих. Второй блок ключей 9 в соответствии с сигналами, поступающими из преобразователя кодов 6, подключает выходы базы данных классов НСВ 11 ко вторым входам соответствующих устройств сравнения блока сравнения 12. Классификатор 10 предназначен для определения класса НСВ. База данных классов НСВ 11 обеспечивает хранение информации об известных классах НСВ и запись вновь выявленных классов НСВ. Блок сравнения 12 осуществляет сравнение в N каналах сигналов, поступающих с выхода классификатора 10, и сигналов из базы данных классов НСВ 11, соответствующих известным классам НСВ. Ключ 13 по сигналу логической единицы, поступающему на его второй вход от логического элемента ИЛИ-НЕ 14, обеспечивает подключение выхода сумматора 5 на второй (адресный) вход базы данных классов НСВ 11. Логический элемент ИЛИ-НЕ 14 вырабатывает на своем выходе сигнал логической единицы при появлении НСВ, не отнесенного ни к одному из известных классов, информация о которых хранится в базе данных классов НСВ 11.

Заявляемое устройство выявления несанкционированных воздействий на информационную телекоммуникационную систему работает следующим образом.

В базу данных НСВ 11 заблаговременно записываются коды, соответствующие известным классам НСВ. Количество известных классов НСВ вводится с помощью устройства ввода исходного количества классов 4. Цифровой код введенного значения подается на первый вход сумматора 5, на второй вход которого подается сигнал с выхода логического элемента ИЛИ-НЕ 14 и в результате на выходе сумматора 5 формируется сумма сигналов, присутствующих на его входах. Полученный сигнал подается на первый вход ключа 13 и, кроме того, на вход преобразователя кодов 6, в котором преобразуется к виду, необходимому для управления первым и вторым блоками ключей 7 и 9 (например, если на выходе сумматора 5 имеется двоичный код числа 3, а именно 11, то на выходе преобразователя кодов при N=4 будет сформирован сигнал в виде двоичного кода 1110). С j-го выхода преобразователя кодов 6 сигнал поступает на вторые входы соответствующих ключей первого и второго блока ключей 7 и 9. Входное воздействие поступает на объединенные первые входы ключей первого блока ключей 7 и при наличии на втором входе j-го ключа первого блока ключей 7 сигнала логической единицы поступает на входу-го детектора блока детекторов 8. В задействованных детекторах блока детекторов 8 определяется наличие во входном воздействии несанкционированной или легальной составляющих. Сигналы с выхода блока детекторов 8 поступают на входы классификатора 10, который определяет класс НСВ и формирует цифровой код воздействия на выходе устройства выявления несанкционированных воздействий на информационную телекоммуникационную систему. Кроме того, сигнал с выхода классификатора 10 поступает на первый вход базы данных классов НСВ 11 и на объединенные первые входы устройств сравнения блока сравнения 12. На второй вход j-го устройства сравнения 12 сигнал подается с выхода соответствующего ключа второго блока ключей 9. На первый вход j-го ключа второго блока ключей 9 сигнал поступает с соответствующего выхода базы данных классов НСВ 11 и при наличии на втором входе j-го ключа второго блока ключей 9 сигнала логической единицы данный сигнал подается на второй входу-го устройства сравнения блока сравнения 12. В задействованных таким образом устройствах сравнения блока сравнения 12 сравниваются цифровые коды, поступающие из классификатора 10 и базы данных классов НСВ 11. При этом на выходе устройства сравнения блока сравнения 12 сигнал логической единицы формируется только в случае, если данное устройство сравнения задействовано и цифровые коды на его входах равны. Это обеспечивает формирование логическим элементом ИЛИ-НЕ 14 на своем выходе сигнала логической единицы только при обнаружении неизвестного класса НСВ. Этот сигнал с выхода логического элемента ИЛИ-НЕ 14 подается на второй вход сумматора 5, увеличивая сформированную им сумму на единицу, и на второй вход ключа 13, подключая сигнал с выхода сумматора 5 на второй вход базы данных классов НСВ 11. Таким образом, в базе данных классов НСВ 11 оказывается записанным очередной класс НСВ, который будет учитываться в дальнейшей работе устройства выявления несанкционированных воздействий на информационную телекоммуникационную систему.

Эффективность функционирования устройства можно оценить, воспользовавшись коэффициентом увеличения количества обнаруживаемых классов НСВ:

где N и N' - количество классов НСВ в устройстве-прототипе и заявляемом устройстве соответственно.

Например, при N=4 и N'=512 количество обнаруживаемых классов НСВ увеличивается по сравнению с устройством-прототипом в 128 раз.

Таким образом, в предложенном устройстве выявления несанкционированных воздействий на информационную телекоммуникационную систему расширение классов обнаруживаемых НСВ обеспечивается за счет сравнения анализируемых несанкционированных воздействий с заданными классами НСВ, выявления новых классов НСВ и их учета в процессе дальнейшей классификации НСВ.

Предлагаемое техническое решение является новым, поскольку из общедоступных сведений неизвестно устройство выявления несанкционированных воздействий на информационную телекоммуникационную систему, отличающееся от известного устройства выявления НСВ, включающего блок детекторов, состоящий из N детекторов, каждый из которых имеет один вход и два выхода, и классификатор, имеющий 2N входов и один выход, при этом (2i-1)-е входы классификатора, где , соединены с первыми выходами каждого детектора блока детекторов, 2i-е входы классификатора соединены со вторыми выходами каждого детектора блока детекторов, а входы всех детекторов блока детекторов объединены, тем, что дополнительно введены устройство ввода исходного количества классов, сумматор, преобразователь кодов, имеющий N выходов, первый и второй блоки ключей, состоящие из N ключей каждый, блок сравнения, состоящий из N устройств сравнения, логический элемент ИЛИ-НЕ, ключ и база данных классов НСВ, имеющая N выходов, при этом выход устройства ввода исходного количества классов соединен с первым входом сумматора, второй вход которого подключен к выходу логического элемента ИЛИ-НЕ, вход преобразователя кодов и первый вход ключа объединены и соединены с выходом сумматора, i-й выход преобразователя кодов, где , подключен ко второму входу j-го ключа первого блока ключей и второму входу j-го ключа второго блока ключей, первые входы всех ключей первого блока ключей объединены для подачи входного воздействия, выход j-го ключа первого блока ключей соединен с входом соответствующего детектора блока детекторов, выход классификатора соединен с объединенными первыми входами устройств сравнения блока сравнения, с первым входом базы данных классов НСВ и является выходом устройства выявления несанкционированных воздействий на информационную телекоммуникационную систему, вторые входы j-го устройства сравнения блока сравнения соединены с соответствующими выходами ключей второго блока ключей, выход j-го устройства сравнения блока сравнения подключен к j-му входу логического элемента ИЛИ-НЕ, с выходом которого соединен второй вход ключа, выход ключа подключен ко второму входу базы данных классов НСВ, первые входы ключей второго блока ключей подключены к соответствующим выходам базы данных классов НСВ.

Предлагаемое техническое решение имеет изобретательский уровень, поскольку из опубликованных научных данных и известных технических решений явным образом не следует, что устройство выявления несанкционированных воздействий на информационную телекоммуникационную систему позволяет в процессе функционирования увеличивать количество обнаруживаемых классов НСВ.

Предлагаемое техническое решение промышленно применимо, так как для его реализации могут быть использованы типовые импульсные и цифровые устройства (см., например, Браммер Ю.А., Пащук И.Н. Импульсные и цифровые устройства: Учеб. для студентов электрорадиоприборостроительных сред. спец. учеб. заведений, 6-е изд., перераб. и доп. - М.: Высшая школа, 2002; Симонович С.В. и др. Большая книга персонального компьютера. - М.: ОЛИА Медиа Групп, 2007; Угрюмов Е.П. Цифровая схемотехника: Учеб. пособие для вузов. - 2-е изд., перераб. и доп. - СПБ.: БХВ-Петербург, 2005; Комарцова Л.Г., Максимов А.В. Нейрокомпьютеры: Учеб. пособие для вузов. - 2-е изд., перераб. и доп. - М.: Изд-во МГТУ им. Н.Э.Баумана, 2004).

Так, устройство ввода исходного количества классов 4 выполняется на базе ЭВМ со стандартной клавиатурой (см., например, Симонович С.В. и др. Большая книга персонального компьютера. - М.: ОЛИА Медиа Групп, 2007). Ключи в первом и втором блоках ключей 7 и 9, ключ 13, реализуются с использованием схем, например транзисторных ключей (см., например. Браммер Ю.А., Пащук И.Н. Импульсные и цифровые устройства: Учеб. для студентов электрорадиоприборостроительных сред. спец. учеб. заведений, 6-е изд., перераб. и доп. - М.: Высшая школа, 2002. - с.68-81). Построение базы данных классов НСВ 11 осуществляется с использованием полупроводниковых запоминающих устройств (см., например, Браммер Ю.А., Пащук И.Н. Импульсные и цифровые устройства: Учеб. для студентов электрорадиоприборостроительных сред. спец. учеб. заведений. 6-е изд., перераб. и доп. - М.: Высшая школа, 2002. - с.295-305). Для реализации логического элемента ИЛИ-НЕ 14 могут быть использованы известные типовые схемы (см., например, Браммер Ю.А., Пащук И.Н. Импульсные и цифровые устройства: Учеб. для студентов электрорадиоприборостроительных сред. спец. учеб. заведений. 6-е изд., перераб. и доп. - М.: Высшая школа, 2002. - с.106-114). Сумматор 5 выполняется по известным схемам (см., например, Браммер Ю.А., Пащук И.Н. Импульсные и цифровые устройства: Учеб. для студентов электрорадиоприборостроительных сред. спец. учеб. заведений. 6-е изд., перераб. и доп. - М.: Высшая школа, 2002. - с.275-284; Угрюмов Е.П. Цифровая схемотехника: Учеб. пособие для вузов. - 2-е изд., перераб. и доп. - СПБ.: БХВ-Петербург, 2005. - с.114-129). В качестве устройства сравнения блока сравнения 12 могут быть использованы цифровые компараторы (см., например, Браммер Ю.А., Пащук И.Н. Импульсные и цифровые устройства: Учеб. для студентов электрорадиоприборостроительных сред. спец. учеб. заведений. 6-е изд., перераб. и доп. - М.: Высшая школа, 2002. - с.271-274; Угрюмов Е.П. Цифровая схемотехника: Учеб. пособие для вузов. - 2-е изд., перераб. и доп.- СПБ.: БХВ-Петербург, 2005. - с.100-103). Преобразователь кодов 6 выполняется по известным схемам (см., например, Браммер Ю.А., Пащук И.Н. Импульсные и цифровые устройства: Учеб. для студентов электрорадиоприборостроительных сред. спец. учеб. заведений. 6-е изд., перераб. и доп. - М.: Высшая школа, 2002. - с.311-315). Детекторы блока детекторов 8 и классификатор 10 реализуются, например, путем применения программируемых логических интегральных схем (ПЛИС) (см., например, Комарцова Л.Г., Максимов А.В. Нейрокомпьютеры: Учеб. пособие для вузов. - 2-е изд., перераб. и доп. - М.: Изд-во МГТУ им. Н.Э.Баумана, 2004. - с.354-361), цифровых сигнальных процессоров (ЦСП) (см., например, Комарцова Л.Г., Максимов А.В. Нейрокомпьютеры: Учеб. пособие для вузов. - 2-е изд., перераб. и доп. - М.: Изд-во МГТУ им. Н.Э.Баумана, 2004. - с.363-366) или нейрочипов (см., например, Комарцова Л.Г., Максимов А.В. Нейрокомпьютеры: Учеб. пособие для вузов. - 2-е изд., перераб. и доп. - М.: Изд-во МГТУ им. Н.Э.Баумана, 2004. - с.366-393).

Устройство выявления несанкционированных воздействий на информационную телекоммуникационную систему, включающее блок детекторов, состоящий из N детекторов, каждый из которых имеет один вход и два выхода, и классификатор, имеющий 2N входов и один выход, при этом (2i-1)-е входы классификатора, где , соединены с первыми выходами каждого детектора блока детекторов, 2i-e входы классификатора соединены со вторыми выходами каждого детектора блока детекторов, а входы всех детекторов блока детекторов объединены, отличающееся тем, что дополнительно введены устройство ввода исходного количества классов, сумматор, преобразователь кодов, имеющий N выходов, первый и второй блоки ключей, состоящие из N ключей каждый, блок сравнения, состоящий из N устройств сравнения, логический элемент ИЛИ-НЕ, ключ и база данных классов несанкционированных воздействий, имеющая N выходов, при этом выход устройства ввода исходного количества классов соединен с первым входом сумматора, второй вход которого подключен к выходу логического элемента ИЛИ-НЕ, вход преобразователя кодов и первый вход ключа объединены и соединены с выходом сумматора, j-й выход преобразователя кодов, где , подключен ко второму входу j-го ключа первого блока ключей и второму входу j-го ключа второго блока ключей, первые входы всех ключей первого блока ключей объединены для подачи входного воздействия, выход j-го ключа первого блока ключей соединен с входом соответствующего детектора блока детекторов, выход классификатора соединен с объединенными первыми входами устройств сравнения блока сравнения, с первым входом базы данных классов несанкционированных воздействий и является выходом устройства выявления несанкционированных воздействий на информационную телекоммуникационную систему, вторые входы j-го устройства сравнения блока сравнения соединены с соответствующими выходами ключей второго блока ключей, выход j-го устройства сравнения блока сравнения подключен к j-му входу логического элемента ИЛИ-НЕ, с выходом которого соединен второй вход ключа, выход ключа подключен ко второму входу базы данных классов несанкционированных воздействий, первые входы ключей второго блока ключей подключены к соответствующим выходам базы данных классов несанкционированных воздействий.



 

Похожие патенты:

Изобретение относится к защищенному шлюзу, обеспечивающему двустороннюю связь между двумя сетями связи, при этом первая сеть имеет высокий уровень защиты, а вторая сеть имеет более низкий уровень защиты.

Изобретение относится к беспроводным сетям, а именно к системам безопасности для иерархических сетей. .

Изобретение относится к области безопасности информационных систем. .

Изобретение относится к области информационной безопасности цифровых систем связи и может быть использовано в распределенных вычислительных сетях (ВС). .

Изобретение относится к приему и передаче данных, а именно к способу передачи сообщения между летательным аппаратом (А) и наземной базой (В). .

Изобретение относится к технике связи и может быть использовано для управления ключами для сетевого доступа. .

Изобретение относится к сетевым технологиям, а именно к устройствам и способам биометрической сетевой идентификации. .

Изобретение относится к сетям передачи данных. .

Изобретение относится к телефонии, а именно к способу защищенного сопряжения IP-телефона с вычислительным устройством во время сеанса VoIP-связи в IP-сети, и машиночитаемым носителям, содержащим команды для выполнения данного способа.

Изобретение относится к беспроводной связи, а именно к способу передачи пакетов между мобильной станцией и шлюзом безопасности по беспроводной локальной сети для доступа к домашним службам.

Изобретение относится к способам дистанционного охранного мониторинга местности и может быть использовано в случаях применения средств обнаружения (СО) с протяженной обрывной линейной частью (ПОЛЧ) на местности, пересеченной сетью дорог (троп), диапазон скоростей движения нарушителя по которым известен. Технический результат - определение направления осуществляется без развертывания дополнительных средств обнаружения. Способ заключается в развертывании на локальном участке местности сигнализационного рубежа с заданными геометрическими размерами, включающего два СО с ПОЛЧ, с последующим определением направления движения по алгоритму, устанавливающему принадлежность полученного временного интервала задержки между поочередным поступлением сигналов тревоги от средств обнаружения к одному из трех диапазонов временных интервалов, рассчитанных аналитически для каждого из направлений движения, с учетом возможного диапазона скоростей нарушителя на данной местности и индивидуальных расстояний между обрывными линейными частями на этих участках. 14 ил.

Изобретение относится к системам управления технологическими процессами и автоматизации подстанций, а именно к наблюдению за аспектами безопасности во время конфигурирования и параметризации отдельных устройств в таких системах. Технический результат - осуществление проверки достоверности, когда подтверждающая сторона недоступна, что минимизирует задержку во времени, создаваемую процедурой проверки. Способ проверки изменения конфигурации интеллектуального электронного устройства (IED) в системах управления технологическим процессом (РСТ) или автоматизации подстанции (SA) содержит аутентификацию, выполняемую IED перед приемом запроса на изменение конфигурации, подтверждающей стороны, независимой от клиента, и сохранение в памяти IED проверки достоверности, изменения конфигурации, заданной подтверждающей стороной, при этом проверка достоверности представляет собой план обслуживания IED, набор правил, или экспертную систему, которая оценивает возможность принятия изменений, вносимых в конфигурацию, и принятие или отклонение запроса на изменение конфигурации на основе результата проверки достоверности, используемой для конкретных случаев, относящихся к запросу на изменение конфигурации. 2 н. и 4 з.п. ф-лы, 1 ил.
Наверх