Устройство обнаружения удаленных компьютерных атак

Авторы патента:

Коцыняк Михаил Михайлович (RU)

Лаута Александр Сергеевич (RU)

Лаута Олег Сергеевич (RU)

Коцыняк Михаил Антонович (RU)

Васюков Дмитрий Юрьевич (RU)

G06F21/00 - Обработка цифровых данных с помощью электрических устройств (вычислительные машины, в которых часть вычислений осуществляется гидравлическими или пневматическими устройствами G06D; оптическими средствами G06E; автономные внешние вводные и выводные устройства G06K; компьютерные системы, основанные на специфических вычислительных моделях G06N; цепи полного /активного и реактивного/ сопротивления H03H)

Владельцы патента RU 2540838:

федеральное государственное казенное военное образовательное учреждение высшего профессионального образования "Военная академия связи имени Маршала Советского Союза С.М. Буденного" Министерства обороны Российской Федерации (RU)

Изобретение относится к области электросвязи. Техническим результатом является повышение достоверности обнаружения удаленных компьютерных атак. Устройство обнаружения удаленных компьютерных атак содержит счетчики, блоки дешифрации, блоки сравнения, блок управления, блок индикации и блоки памяти. Первый блок памяти снабжен входной шиной сообщений, а его информационный выход подключен к первым информационным входам первого, третьего, четвертого, пятого, шестого, седьмого, десятого, восьмого, девятого, одиннадцатого и двенадцатого блоков дешифрации, управляющие выходы которых подключены к соответствующим управляющим входам блока управления, управляющие выходы которого подключены к блоку индикации и первому блоку памяти. Управляющие выходы счетчиков подключены к управляющим входам соответствующих блоков дешифрации. Информационные выходы четвертого и пятого блоков дешифрации подключены к первому блоку сравнения, информационный выход которого подключен к третьему блоку памяти. Информационный выход двенадцатого блока дешифрации подключен к информационному входу второго блока сравнения, информационный выход которого подключен к пятому блоку памяти. Причем управляющие входы третьего, четвертого и пятого блоков памяти объединены и являются управляющим входом устройства, четвертый блок памяти снабжен информационным выходом подключения к ложной сети. 7 ил.

Изобретение относится к области электросвязи и предназначено для использования в технических средствах защиты с целью оперативного выявления удаленных компьютерных атак на информационно-телекоммуникационную сеть (ИТКС) и их блокирования.

Известно устройство защиты информационных ресурсов вычислительной сети по патенту РФ №2313127, опубл. 20.12.2007. Устройство-аналог состоит из серверов с блоками памяти, промежуточной памяти, коммутатора, коннекторов, линий обмена данными и блока управления.

Недостатком указанного способа является ограниченное число анализируемых параметров пакетов сообщений.

Известно устройство защиты информации от несанкционированного доступа для компьютеров информационно-вычислительных систем по патенту РФ №2321055, опубл. 27.03.2008. Устройство-аналог состоит из контроллера обмена информацией с внешним носителем информации, контроллера обмена информацией с компьютером, процессора идентификации и аутентификации пользователей, блока энергонезависимой памяти, модуля блокировки общей шины управления и обмена данными компьютера, устройства контроля питания, блока интерфейсов внешних устройств, модуля блокирования внешних устройств, аппаратного датчика случайных чисел, микроконтроллера датчиков вскрытия и извлечения компонентов компьютера с собственным независимым источником питания, оперативного запоминающего устройства, модуля постоянной аутентификации пользователя, модуля проверки целостности и состояния аппаратных компонентов устройства защиты, модуля управления загрузкой ключей аппаратного шифратора, модуля управления сетевыми адаптерами, модуля взаимодействия с системой разграничения доступа и модуля взаимодействия с серверами информационно-вычислительной системы.

Недостатком указанного способа является узкая область применения, обусловленная тем, что несмотря на возможность обнаружения несанкционированного доступа к компьютерам в нем не предусмотрена возможность предотвращения удаленных компьютерных атак.

Наиболее близким аналогом (прототипом) по своей технической сущности к заявленному устройству обнаружения удаленных компьютерных атак является устройство поиска информации по патенту РФ №2301443, опубл. 20.06.2007.

Устройство-прототип состоит из блока памяти, вход которого является входом устройства, а выход подключен к информационному входу первого блока дешифрации, второй вход которого подключен к первому счетчику, а выход - к входу второго счетчика, первый выход которого соединен со вторым входом второго блока дешифрации, первый вход которого подключен к выходу первого блока памяти, выход второго блока дешифрации соединен с входом второго блока памяти, а выход второго счетчика через третий счетчик соединен с первым входом третьего блока дешифрации, второй вход которого подключен к выходу первого блока памяти, первый и второй выходы третьего блока дешифрации подключены через четвертый и пятый счетчики соответственно к первым входам четвертого и пятого блоков дешифрации, вторые входы которых соединены с выходом первого блока памяти, а выходы четвертого и пятого блоков дешифрации подключены соответственно к первому и второму входам первого блока сравнения, входы блока управления подключены ко второму выходу первого блока дешифрации, к третьему выходу третьего блока дешифрации, ко второму выходу первого блока сравнения, ко второму выходу шестого блока дешифрации, к первому выходу седьмого блока дешифрации, к выходу восьмого блока дешифрации, к выходу девятого блока дешифрации, к первому выходу десятого блока дешифрации, к двум выходам одиннадцатого блока дешифрации, а одиннадцатый выход блока управления подключен к входу первого счетчика и к первому блоку памяти, причем выход второго блока памяти соединен с первым входом шестого счетчика, второй вход которого подключен к выходу первого блока сравнения, а его выход - к входу шестого блока дешифрации, первый выход которого соединен с входом седьмого счетчика, выход которого подключен к входу седьмого блока дешифрации, второй выход которого соединен с входом восьмого счетчика, а выход восьмого счетчика подключен к первому входу восьмого, девятого и десятого блоков дешифрации, вторые входы каждого из которых соединены с выходом первого блока памяти, к которому также подключены вторые входы седьмого, шестого и одиннадцатого блоков дешифрации, причем второй выход десятого блока дешифрации соединен с входом девятого счетчика, выход которого подключен к первому входу одиннадцатого блока дешифрации.

Недостатком прототипа является относительная низкая достоверность обнаружения компьютерных атак из-за возможности проверки только малого количества признаков, характеризующих удаленные компьютерные атаки, что приводит к возможному пропуску компьютерных атак, использующих фрагментацию пакетов данных.

Целью изобретения является разработка устройства обнаружения удаленных компьютерных атак, обеспечивающего повышение достоверности обнаружения компьютерных атак, за счет возможности выявления большего числа признаков атак и их обнаружения.

Поставленная цель достигается тем, что в известном устройстве обнаружения удаленных компьютерных атак, содержащем первый блок памяти, снабженный входной шиной сообщений, а его информационный выход подключен к первым информационным входам первого, третьего, четвертого, пятого, шестого, седьмого, десятого, восьмого, девятого и одиннадцатого блоков дешифрации, первый управляющий вход первого блока памяти подключен к управляющему входу первого счетчика, управляющий выход которого подключен ко второму управляющему входу первого блока дешифрации, управляющие выходы которого подключены соответственно к первому управляющему входу блока управления и управляющему входу второго счетчика, первый управляющий выход которого подключен к управляющему входу второго блока дешифрации, управляющий выход которого подключен к управляющему входу второго блока памяти, информационный выход которого подключен к первому информационному входу шестого счетчика, второй управляющий вход которого подключен ко второму управляющему выходу первого блока сравнения, управляющий выход шестого счетчика подключен ко второму управляющему входу шестого блока дешифрации, первый управляющий выход которого подключен к четвертому управляющему входу блока управления, пятый управляющий вход которого подключен к первому управляющему выходу седьмого блока дешифрации, второй управляющий выход которого подключен к управляющему входу восьмого счетчика, второй управляющий выход которого подключен ко вторым управляющим входам десятого, восьмого и девятого блоков дешифрации, первый управляющий выход которого подключен к шестому управляющему входу блока управления, седьмой и восьмой управляющие входы которого подключены соответственно к первому управляющему выходу восьмого блока дешифрации и первому управляющему выходу десятого блока дешифрации, второй управляющий выход которого подключен к управляющему входу девятого счетчика, управляющий выход которого подключен к первому управляющему входу одиннадцатого блока дешифрации, первый управляющий выход которого подключен к десятому управляющему входу блока управления, второй и третий управляющие входы которого подключены соответственно к первому управляющему выходу третьего блока дешифрации и первому управляющему выходу первого блока сравнения, второй информационный вход которого подключен к информационному выходу пятого блока дешифрации, второй управляющий вход которого подключен к управляющему выходу пятого счетчика, информационный вход которого подключен ко второму информационному выходу третьего блока дешифрации, третий информационный выход которого подключен к информационному входу четвертого счетчика, управляющий выход которого подключен ко второму управляющему входу четвертого блока дешифрации, информационный выход которого подключен к третьему информационному входу первого блока сравнения, второй управляющий выход второго счетчика подключен к управляющему входу третьего счетчика, управляющий выход которого подключен ко второму управляющему входу третьего блока дешифрации, второй управляющий выход шестого блока дешифрации подключен к управляющему входу седьмого счетчика, управляющий выход которого подключен ко второму управляющему входу седьмого блока дешифрации, первый, второй и третий управляющие выходы блока управления подключены соответственно к первому и второму управляющим входам первого блока памяти, а также к управляющему входу блока индикации, отличающееся тем, что дополнительно введены второй блок сравнения, двенадцатый блок дешифрации, десятый счетчик, а также третий, пятый и четвертый блоки памяти. Первый управляющий выход четвертого блока памяти подключен к девятому управляющему входу блока управления, двенадцатый и тринадцатый управляющие входы которого подключены соответственно к первому и второму управляющим выходам второго блока сравнения. Первый и второй информационные входы второго блока сравнения подключены соответственно к информационным выходам пятого блока памяти и двенадцатого блока дешифрации, первый управляющий выход которого подключен к одиннадцатому управляющему входу блока управления. Первый и второй информационные входы двенадцатого блока дешифрации подключены соответственно к информационному выходу первого блока памяти и управляющему выходу десятого счетчика, управляющий вход которого подключен к первому управляющему выходу восьмого счетчика. Второй и третий информационные входы четвертого блока памяти подключены соответственно ко второму информационному выходу одиннадцатого блока дешифрации и вторым информационным выходам восьмого и девятого блоков дешифрации. Информационный выход третьего блока памяти подключен к первому информационному входу первого блока сравнения. Причем управляющие входы третьего, четвертого и пятого блоков памяти объединены и являются управляющим входом устройства, а четвертый блок памяти снабжен информационным выходом подключения к ложной сети.

Благодаря новой совокупности существенных признаков в заявленном устройстве за счет мониторинга широкого спектра компьютерных атак, предпринимаемых внешними нарушителями по доверенным маршрутам передачи пакетов сообщений, представляется возможным более оперативно прогнозировать факт воздействия компьютерных атак (КА) и заблаговременно предотвратить их деструктивное воздействие, что указывает на возможность повышения достоверности обнаружения КА.

Заявленное устройство поясняется чертежами, на которых показаны:

на фиг.1 - структурная схема устройства обнаружения удаленных компьютерных атак;

на фиг.2 - структурная схема блока управления;

на фиг.3 - структура заголовка IP-пакета;

на фиг.4 - структура заголовка TCP-пакета;

на фиг.5 - структура заголовка UDP-пакета;

на фиг.6 - структура заголовка ICMP-пакета;

на фиг.7 - зависимость вероятности обнаружения компьютерных атак от объема принятых пакетов сообщений.

Заявленное устройство обнаружения удаленных компьютерных атак, показанное на фиг.1, состоит из первого блока памяти 1, снабженного входной шиной сообщений, а его информационный выход 1.3 подключен к первым информационным входам первого 3, третьего 8, четвертого 11, пятого 12, шестого 15, седьмого 17, десятого 19, восьмого 20, девятого 21 и одиннадцатого 23 блоков дешифрации, первый управляющий вход 1.1 первого блока памяти 1 подключен к управляющему входу 2.1 первого счетчика 2, управляющий выход 2.2 которого подключен ко второму управляющему входу 3.2 первого блока дешифрации 3, управляющие выходы 3.3 и 3.4 которого подключены соответственно к первому управляющему входу 24.1 блока управления 24 и управляющему входу 5.1 второго счетчика 5, первый управляющий выход 5.2 которого подключен к управляющему входу 4.1 второго блока дешифрации 4, управляющий выход 4.2 которого подключен к информационному входу 6.1 второго блока памяти 6, информационный выход 6.2 которого подключен к первому информационному входу 14.1 шестого счетчика 14, второй управляющий вход 14.2 которого подключен ко второму управляющему выходу 13.5 первого блока сравнения 13, управляющий выход 14.3 шестого счетчика 14 подключен ко второму управляющему входу 15.2 шестого, блока дешифрации 15, первый управляющий выход 15.3 которого подключен к четвертому управляющему входу 24.4 блока управления 24, пятый управляющий вход 24.5 которого подключен к первому управляющему выходу 17.3 седьмого блока дешифрации 17, второй управляющий выход 17.4 которого подключен к управляющему входу 18.1 восьмого счетчика 18, второй управляющий выход 18.3 которого подключен ко вторым управляющим входам 19.2, 20.2, 21.2 десятого 19, восьмого 20 и девятого 21 блоков дешифрации, первый управляющий выход 21.3 которого подключен к шестому управляющему входу 24.6 блока управления 24, седьмой 24.7 и восьмой 24.8 управляющие входы которого подключены соответственно к первому управляющему выходу 20.3 восьмого блока дешифрации 20 и первому управляющему выходу 19.3 десятого блока дешифрации 19, второй управляющий выход 19.4 которого подключен к управляющему входу 22.1 девятого счетчика 22, управляющий выход 22.2 которого подключен к первому управляющему входу 23.2 одиннадцатого блока дешифрации 23, первый управляющий выход 23.3 которого подключен к десятому управляющему входу 24.10 блока управления 24, второй 24.2 и третий 24.3 управляющие входы которого подключены соответственно к первому управляющему выходу 8.3 третьего блока дешифрации 8 и первому управляющему выходу 13.4 первого блока сравнения 13, второй информационный вход 13.2 которого подключен к информационному выходу 12.3 пятого блока дешифрации 12, второй управляющий вход 12.2 которого подключен к управляющему выходу 10.2 пятого счетчика 10, информационный вход 10.1 которого подключен ко второму информационному выходу 8.4 третьего блока дешифрации 8, третий информационный выход 8.5 которого подключен к информационному входу 9.1 четвертого счетчика 9, управляющий выход 9.2 которого подключен ко второму управляющему входу 11.2 четвертого блока дешифрации 11, информационный выход 11.3 которого подключен к третьему информационному входу 13.3 первого блока сравнения 13, второй управляющий выход 5.3 второго счетчика 5 подключен к управляющему входу 7.1 третьего счетчика 7, управляющий выход 7.2 которого подключен ко второму управляющему входу 8.2 третьего блока дешифрации 8, второй управляющий выход 15.4 шестого блока дешифрации 15 подключен к управляющему входу 16.1 седьмого счетчика 16, управляющий выход 16.2 которого подключен ко второму управляющему входу 17.2 седьмого блока дешифрации 17, первый 24.14, второй 24.15 и третий 24.16 управляющие выходы блока управления 24 подключены соответственно к первому 1.1 и второму 1.2 управляющим входам первого блока памяти 1, а также к управляющему входу 25.1 блока индикации 25, отличающееся тем, что дополнительно введены второй блок сравнения 32, двенадцатый блок дешифрации 30, десятый счетчик 29, а также третий 26, пятый 31 и четвертый 28 блоки памяти. Первый управляющий выход 28.4 четвертого блока памяти 28 подключен к девятому управляющему входу 24.9 блока управления 24, двенадцатый 24.12 и тринадцатый 24.13 управляющие входы которого подключены соответственно к первому 32.3 и второму 32.4 управляющим выходам второго блока сравнения 32. Первый 32.1 и второй 32.2 информационные входы второго блока сравнения 32 подключены к информационным выходам соответственно 31.2 пятого блока памяти 31 и 30.4 двенадцатого блока дешифрации 30. Первый управляющий выход 30.3 двенадцатого блока дешифрации 30 подключен к одиннадцатому управляющему входу 24.11 блока управления 24. Первый 30.1 и второй информационные входы 30.2 двенадцатого блока дешифрации 30 подключены соответственно к информационным выходам 1.3 первого блока памяти 1 и 29.2 десятого счетчика 29. Информационный вход 29.1 десятого счетчика 29 подключен к первому информационному выходу 18.2 восьмого счетчика 18. Второй 28.2 и третий 28.3 информационные входы четвертого блока памяти 28 подключены соответственно ко второму информационному выходу 23.4 одиннадцатого блока дешифрации 23 и вторым информационным выходам 20.4, 21.4 восьмого 20 и девятого 21 блоков дешифрации. Информационный выход 26.1 третьего блока памяти 26 подключен к первому информационному входу 13.1 первого блока сравнения 13. Причем управляющие входы 26.2, 28.1 и 31.1 третьего 26, четвертого 28 и пятого 31 блоков памяти объединены и являются управляющим входом устройства. Четвертый блок памяти 28 снабжен информационным выходом 28.5 подключения к ложной сети.

Входящие в устройство обнаружения удаленных компьютерных атак (УОУКА) блоки имеют следующее назначение:

Первый 1 и второй 6 блоки памяти предназначены соответственно для хранения и последующего считывания с них байтов (битов) пакетов сообщений, поступающих с демодулирующего устройства и блока дешифрации.

Третий 26, четвертый 28 и пятый 31 блоки памяти предназначены для записи и хранения соответствующих эталонных значений параметров IP-адресов (отправителей и получателей), признаков пассивных компьютерных атак и параметров поля «Опции».

Схемы их известны и описаны на фиг.2 патента РФ №2115952.

Первый счетчик 2 предназначен для отсчета 14 байтов в цифровой последовательности для определения IP-пакета (фиг.3) и выработки управляющего сигнала для первого блока дешифрации 3.

Второй счетчик 5 предназначен для отсчета 4 бит для обнаружения поля «Длина заголовка» пакета сообщения.

Третий счетчик 7 предназначен для отсчета 8 байт с целью обнаружения 24-го байта пакета и выработки управляющего сигнала для третьего блока дешифрации 8.

Четвертый счетчик 9 предназначен для отсчета 3 байт до первого байта поля адреса отправителя в заголовке IP-дейтаграммы и выработки управляющего сигнала для четвертого блока дешифрации 11.

Пятый счетчик 10 предназначен для отсчета 4 байт до первого байта поля адреса получателя в заголовке IP-дейтаграммы и выработки управляющего сигнала для пятого блока дешифрации 12.

Шестой счетчик 14 предназначен для определения поля, содержащего номер порта отправителя пакета сообщения в заголовке TCP-пакета (фиг.4).

Седьмой счетчик 16 предназначен для определения поля, содержащего значение резервных битов заголовка TCP-пакета.

Восьмой счетчик 18 предназначен для определения поля «Флаги» заголовка TCP-пакета и выработки управляющих сигналов для восьмого 20, девятого 21 и десятого 19 блоков дешифрации.

Девятый счетчик 22 предназначен для определения поля номера флага АСК и выработки управляющего сигнала для одиннадцатого блока дешифрации 23.

Десятый счетчик 29 предназначен для определения поля «Опции» и выработки управляющего сигнала для двенадцатого блока дешифрации 30.

Схема счетчиков известны и описаны на фиг.6 патента РФ №2219577.

Первый блок дешифрации 3 предназначен для определения в последовательности поступающих данных протокола IP.

Второй блок дешифрации 4 предназначен для определения значения «Длина заголовка».

Третий блок дешифрации 8 предназначен для определения протокола TCP за счет выявления в 24-ом байте числового значения «шесть» в десятичном виде.

Четвертый 11 и пятый 12 блоки дешифрации предназначены для записи в них по четыре байта 27-30 и 31-34 полей адреса отправителя и адреса получателя соответственно.

Шестой блок дешифрации 15 предназначен для определения записи 35 и 36 байтов и определяет числовое значение «ноль» (00) в десятичном виде.

Седьмой блок дешифрации 17 предназначен для определения значения поля резервных бит.

Десятый блок дешифрации 19 предназначен для определения случая установки флага АСК и формирования управляющего сигнала, поступающего на девятый счетчик 22.

Восьмой блок дешифрации 20 используется для определения случая установки всех флагов.

Девятый блок дешифрации 21 используется для определения случая одновременной установки флагов SYN/FIN.

Одиннадцатый блок дешифрации 23 записывает 4 байта номера АСК и формирует сигнал для записи значения флага в четвертый блок памяти 28.

Двенадцатый блок дешифрации 30 предназначен для записи в него 4 байт поля «Опции».

Схема блоков дешифрации известны и описаны на фиг.2 патента РФ №2219577.

Первый блок сравнения 13 предназначен для сравнения значений IP-адресов отправителя и получателя с соответствующими эталонными значениями и выработки управляющих сигналов на блок управления 24.

Второй блок сравнения 32 предназначен для сравнения значений поля «Опции» с соответствующими эталонными значениями и выработки управляющих сигналов на блок управления 24.

Схема компараторов известна и описана на рис.1.134 стр.185 в книге Шило В.Л. «Популярные цифровые микросхемы»: Справочник - М: Радио и связь, 1987.

Блок управления 24 предназначен для выработки управляющих сигналов при реализации требуемого алгоритма работы устройством обнаружения удаленных компьютерных атак. Схема блока управления 24 может быть реализована различным образом, в частности как показано на фиг.2.

Блок управления 24 содержит элементы ИЛИ 24.1 и 24.3, устройство задержки 24.2 и шифраторы 24.4-24.7. Схемы элементов ИЛИ известны и показаны на рис.167 стр.78 в книге Якубовский С. В «Цифровые и аналоговые интегральные микросхемы»: Справочник. - М.: Радио и связь, 1990.

В качестве устройства задержки 24.2 может быть использована одна из известных микросхем, например, показанная на рис.1.78 стр.111 в книге Шило В.Л. «Популярные цифровые микросхемы»: Справочник - М: Радио и связь, 1987.

В качестве шифраторов 24.4-24.7 может быть использована одна из известных микросхем, например, показанная на рис.1.101 стр.141 в книге Шило В.Л. «Популярные цифровые микросхемы»: Справочник - М: Радио и связь, 1987.

Блок индикации 25 предназначен для визуального отображения принятого решения. Схемы индикаторов известны и описаны на рис.7.1 на стр.197 в книге Вениаминов В.Н., Лебедев О.Н., Мирошниченко А.И. «Микросхемы и их применение»: Справочное пособие. - М.: Радио и связь, 1989.

Разрядность шины «Входная шина сообщений» определяется разрядностью анализируемых пакетов сообщений, в связи с тем, что устройство обрабатывает байты, шина является восьмиразрядной.

Заявленное УОУКА работает следующим образом.

При получении с выхода блока управления 24 разрешения на запись (логическая «1») производится заполнение ячеек оперативного запоминающего устройства первого блока памяти 1 байтами пакета, поступившими с демодулирующего устройства (канального контроллера). После того как записаны все байты очередного пакета анализируемого протокола, на выходе блока управления 24 формируется разрешение на побайтное считывание информации (логический «0»).

С выхода первого блока памяти 1 байты пакетов последовательно поступают на информационные входы первого 3, второго 4, третьего 8, четвертого 11, пятого 12, шестого 15, седьмого 17, восьмого 20, девятого 21, десятого 19, одиннадцатого 23 и двенадцатого 30 блоков дешифрации.

При поступлении на вход 2.1 первого счетчика 2 сигнала с блока управления 24 (логический «0») считывается 14 байт для определения в сигнальной цифровой последовательности значения «шесть» (06) в десятичном виде, соответствующего наличию в пакете протокола IP. Необходимо отметить, что в заявке рассматривается формат кадра Ethernet 802.3//LLC. В случае других типов кадра, например для Ethernet DIX (Ethernet II), длина этого поля составит 2 байта и его значение соответствует в десятичном виде числу «восемь» (0800) (Кульгин М. Технологии корпоративных сетей. Энциклопедия. - СПб.: Издательство "Питер", 1999. - 704 с.).

Если значение «шесть» не найдено, на первом выходе 3.3 первого блока дешифрации 3 формируется сигнал, поступающий на первый вход 24.1 блока управления 24.

На втором выходе 3.4 первого дешифратора 3 формируется управляющий сигнал, поступающий на второй счетчик 5, который отсчитывает 4 бита для обнаружения значения поля «Длина заголовка» и вырабатывает на первом выходе 5.2 управляющий сигнал разрешения записи этих бит во второй блок дешифрации 4, который служит для определения значения поля «Длина заголовка». На выходе второго блока дешифрации 4 формируется сигнал для записи значения поля «Длина заголовка» во второй блок памяти 6.

На втором выходе 5.3 второго счетчика 5 формируется управляющий сигнал, поступающий на третий счетчик 7, который отсчитывает 8 байт для обнаружения 24-го байта пакета и вырабатывает управляющий сигнал разрешения записи этого байта в третий блок дешифрации 8. Блок дешифрации 8 предназначен для определения в этом байте числового значения «шесть» (06) в десятичном виде. В этом случае используемым протоколом является TCP. (Кульгин М. Технологии корпоративных сетей. Энциклопедия. - СПб.: Издательство "Питер", 1999. - 704 с.).

Если значение «шесть» не найдено, то на первом выходе 8.3 третьего блока дешифрации 8 формируется сигнал, поступающий на второй вход блока управления 24.

На третьем выходе 8.5 третьего блока дешифрации 8 формируется сигнал, поступающий на четвертый счетчик 9, который отсчитывает 3 байта до появления первого байта поля адреса отправителя в заголовке IP-дейтаграммы и вырабатывает на выходе 9.2 управляющий сигнал разрешения записи следующих четырех байтов сигнальных цифровых последовательностей (27-30) в четвертый блок дешифрации 11. На втором выходе 8.4 третьего блока дешифрации 8 формируется сигнал, поступающий на пятый счетчик 10, который отсчитывает 4 байта до первого поля адреса получателя в заголовке IP-дейтаграммы и вырабатывает на выходе 10.2 управляющий сигнал разрешения записи следующих четырех байтов сигнальных цифровых последовательностей (31-34) в пятый блок дешифрации 12.

В первом блоке сравнения 13 выделенные значения параметров адресов сравниваются с соответствующими эталонными значениями, хранящимися в третьем блоке памяти 26 и в случае их совпадения на втором выходе блока 13 вырабатывается управляющий сигнал в виде логической "1", поступающей на третий вход блока управления 24. Если адреса не совпали, вырабатывается управляющий сигнал - логический "0".

На втором выходе 13.5 первого блока сравнения 13 вырабатывается управляющий сигнал, поступающий на второй вход 14.2 шестого счетчика 14, который отыскивает поле, содержащее номер порта источника в заголовке TCP. На выходе 14.3 шестого счетчика 14 вырабатывается управляющий сигнал разрешения записи следующих двух байтов сигнальных цифровых последовательностей в шестой блок дешифрации 15. Шестой блок дешифрации 15 предназначен для определения в этом байте числового значения «ноль» (00) в десятичном виде. В этом случае на втором выходе блока 15 вырабатывается управляющий сигнал, поступающий на четвертый вход блока управления 24.

С первого выхода шестого блока дешифрации 15 поступает управляющий сигнал на седьмой счетчик 16, который отыскивает поле, содержащее значение резервных битов заголовка TCP-пакета. Седьмой счетчик 16 вырабатывает управляющие сигналы для записи в седьмой блок дешифрации 17 следующих 6 бит. Седьмой блок дешифрации 17 предназначен для определения значения поля резервных бит. Если это значение отлично от «нуля» (00) в десятичном виде, на первом выходе дешифратора 17 формируется управляющий сигнал, поступающий на пятый вход блока управления 24.

Со второго выхода 17.4 седьмого блока дешифрации 17 формируется управляющий сигнал, поступающий на восьмой счетчик 18, который отыскивает поле «Флаг» в заголовке TCP-пакетов и формирует управляющие сигналы для записи следующих 6 бит в восьмой 20, девятый 21 и десятый 19 блоки дешифрации. Восьмой 20, девятый 21, десятый 19 блоки дешифрации предназначены для определения состояния поля «Флаги» путем сложения с определенной маской.

Восьмой блок дешифрации 20 используется для определения случая установки всех флагов, в этом случае на его первом выходе формируются управляющий сигнал в виде логической «1», поступающий на шестой вход блока управления 24, в противном случае формируется логический «0». Кроме того, формируется управляющий сигнал для записи значения флага в четвертый блок памяти 28.

Девятый блок дешифрации 21 используется для определения случая одновременной установки флагов SYN/FIN, в этом случае на его первом выходе формируются управляющий сигнал - логическая «1», поступающий на шестой вход блока управления 24, в противном случае формируется логический «0». Кроме того, формируется управляющий сигнал для записи значения флага в четвертый блок памяти 28.

Десятый блок дешифрации 19 используется для определения случая установки флага АСК, в этом случае на его втором выходе формируется управляющий сигнал, поступающий на девятый счетчик 22. Если флаг не установлен, то управляющий сигнал формируется на первом выходе блока 19 и поступает на вход блока управления 24. Девятый счетчик 22 отыскивает поле номера АСК и вырабатывает управляющие сигналы, служащие для записи в одиннадцатый блок 23 дешифрации 4 байта номера АСК. Если значение этого поля отлично от «нуля» (00) в десятичном виде, то на первом выходе блока 23 формируется управляющий сигнал - логическая «1», поступающий на вход блока управления 24, в противном случае формируется логический «0». Кроме того, формируется управляющий сигнал для записи значения флага в четвертый блок памяти 28.

В четвертом блоке памяти 28 производится сбор статистики числа пакетов сообщений, с целью выявления факта воздействия пассивных компьютерных атак.

В качестве признаков, указывающих на факт воздействия на ИТКС пассивных компьютерных атак нарушителем приняты:

последовательное получение в интервале времени UDP-пакетов (фиг.5);

последовательное получение в интервале времени ICMP-запросов (фиг.6);

последовательное получение в интервале времени TCP-пакетов с установленным одним из видов флагов SYN, FIN, АСК, XMAS, NULL.

Это аргументируется следующим. При установке ТСР-соединения первым ПС, который направляют в ИТКС, является ПС с установленным флагом SYN. В зависимости от того, присутствует ли в ИТКС ПЭВМ и/или сервер с указанным адресом, на котором включена необходимая служба, возможны три ситуации. В том случае, если ПЭВМ присутствует и на нем функционирует запрашиваемый порт, ответом будет ПС с флагами АСК и SYN, указывающими на то, что по данному порту может быть установлено соединение. Анализируя данный ответ, нарушитель не только может установить факт присутствия в ИТКС ПЭВМ и/или сервера, но и определить наличие на них определенной сетевой службы.

Если ПЭВМ и/или сервер присутствует, но запрашиваемый порт на нем закрыт, в ответ отправляют TCP-пакет с флагами АСК и RST, указывающими на то, что по запрашиваемому порту соединение установить нельзя. Получив подобный ответ, нарушитель принимает решение о присутствии в ИТКС ПЭВМ и/или сервера с интересующим IP-адресом, но недоступности запрашиваемого порта. Если в ИТКС нет искомого ПЭВМ и/или сервера, то в ответ не будет получено ничего [стандарт Request for Comments, http://tools.ietf.org/html/rfc793 (обращение 29.07.2013)].

С целью определения наличия открытых TCP-портов в ПЭВМ и/или серверах, входящих в состав ИТКС, нарушители работают в следующей последовательности:

отправляют на порт ПЭВМ и/или сервера ПС с флагом SYN с целью организации соединения, и ожидают ответ. Наличие в ответе ПС с флагом АСК означает, что порт открыт, а получение в ответ ПС с флагом RST означает, что порт закрыт;

направляют на порт ПЭВМ и/или сервера ПС с флагом FIN. На прибывший ПС с флагом FIN на закрытый порт ПЭВМ и/или сервер должен ответить ПС с флагом RST, если порт открытый, то ПС с флагом FIN игнорируют;

посылают на порт ПЭВМ и/или сервера ПС с флагом АСК. На прибывший ПС с флагом АСК на закрытый порт ПЭВМ и/или сервер должен ответить RST-пакетом, если порт открытый, то ПС с флагом АСК игнорируют;

отправляют на ПЭВМ и/или сервер ПС с установленными всеми флагами XMAS или сброшенными флагами (NULL). На прибывший ПС с данными значениями флагов на закрытый порт ПЭВМ и/или сервер должен ответить ПС с флагом RST. Указанные пакеты, направленные на открытые порты, игнорируют.

С целью обнаружения открытых UDP-портов в ПЭВМ и/или сервере нарушители направляют UDP-пакет. Если порт открыт, то в ответ ПЭВМ и/или сервер либо ничего не отправляют, либо отправляют ответный UDP-пакет. Если же порт закрыт, то тестируемый ПЭВМ и/или сервер отвечают ICMP-сообщением. В зависимости от полученного ответа нарушители делают соответствующие выводы.

Протокол ICMP используют для определения доступности ПЭВМ и/или серверов ИТКС. Последовательное выполнение ICMP-запросов с перебором адресов из определенного диапазона является КА.

Кроме того, по получаемому ICMP-ответу, а именно по коду ICMP-пакета, нарушители определяют типы операционной системы ПЭВМ и/или серверов.

Реализация пассивных КА является первым этапом воздействия нарушителей на ИТКС и направлена на изучение топологии атакуемой ИТКС, определение типа и версии операционной системы ПЭВМ и/или серверов, выявление доступных сетевых и иных сервисов в атакуемой ИТКС.

При получении в течение одной минуты трех и более пакетов сообщений с одинаковыми флагами или протоколами перенаправляют последующие пакеты сообщений с идентичным «Флагом» и/или видом протокола в ложную сеть. Порядок работы ложной сети известен и описан в статье Сморчкова Е.В., Наконечного Б.М., Нижниковского А.В. Механизм функционирования ложных сетевых информационных объектов в локальных вычислительных сетях // Известия института инженерной физики, №3, 2011. - стр.7-10. При этом формируется управляющий сигнал - логическая «1», поступающий на десятый вход блока управления 24, иначе же формируется логический «0».

На втором выходе восьмого счетчика 18 формируется управляющий сигнал, поступающий на десятый счетчик 29, который отчитывает 4 байта для определения значения поля «Опции» и вырабатывает на первом выходе управляющий сигнал разрешения сохранения этих байт в двенадцатый блок дешифрации 30, который служит для определения параметров поля «Опции».

Поле «Опции» является необязательным и имеет переменную длину. Поддержка опций должна реализоваться во всех модулях IP (узлах и маршрутизаторах). Стандартом определены 8 опций. В предлагаемом устройстве используется опция - «запись маршрута» и/или «безопасности» [RFC 791, Internet Protocol, 1981, сентябрь, стр.14-22].

Во втором блоке сравнения 32 выделенные параметры поля «Опции» сравниваются с эталонными значениями, хранящими в пятом блоке памяти 31 и в случае их совпадения на первом выходе блока сравнения 32 вырабатывается управляющий сигнал в виде логической «1», поступающей на тринадцатый вход блока управления 24. Если значения поля «Опции» не совпали, на первом выходе вырабатывается управляющий сигнал - логический «0», поступающий на двенадцатый вход блока управления 24.

При поступлении управляющего сигнала на первый вход блока управления 24 формируется управляющий сигнал на его четырнадцатом выходе.

При поступлении управляющего сигнала на второй вход блока управления 24 включается линия задержки до момента поступления сигнала на его третий вход, после чего формируется управляющий сигнал на четырнадцатом выходе блока управления 24.

При поступлении управляющего сигнала на входы с третьего по одиннадцатый блока управления 24 подключается соответствующий шифратор. Шифратор необходим для преобразования сигналов, поступающих на его информационный вход в кодовую комбинацию, соответствующую сообщению, которое передается на пятнадцатый выход блока управления 24.

При получении на двенадцатый вход блока управления 24 управляющего сигнала на его пятнадцатом выходе формируется управляющий сигнал, поступающий на первый блок памяти 1, по которому происходит обнуление ячеек памяти. Устройство готово к ведению анализа вновь поступающей входной цифровой последовательности.

Через управляющий вход устройства администратор обновляет эталонные значения параметров пакетов сообщений. Для этого администратор в тестовом режиме функционирования ИТКС измеряет реальные значения полей данных пакетов сообщений для маршрута между каждой парой доверенных адресов получателя и отправителя. После передачи пакета сообщения по ИТКС от отправителя к получателю сообщения, по определенному маршруту, адреса отправителя и получателя (поля «IP адрес отправителя», «IP адрес получателя») и маршрут прохождения пакета (поле «опции») будут иметь одинаковые значение для всех пакетов сообщений, проходящих по этому маршруту. Эти значения запоминают в соответствующие блоки памяти. После того как все эталонные значения проверяемых параметров собраны и записаны в соответствующие блоки памяти, осуществляется перевод ИТКС в режим реальной работы.

Таким образом, благодаря мониторингу широкого спектра существенных признаков компьютерных атак и обнаружению пассивных КА повысилась достоверность их обнаружения, характеризуемая вероятностью обнаружения (Р_обн). С помощью моделирования получена взаимосвязь значений вероятности обнаружении компьютерных атак от объема полученных пакетов сообщений.

Достижение технического результата поясняется следующим образом. Для способа-прототипа из-за проверки малого количества признаков характеризующих удаленные компьютерные атаки вероятность обнаружения компьютерных атак (Р1_обн) ниже, чем у прототипа (Р2_обн) в 0,78 раз.

При этом разница в вероятности обнаружения компьютерных атак тем больше, чем больше объем пакетов сообщений, чем и достигается сформулированный технический результат, т.е. повышение достоверности обнаружения компьютерных атак.

Полученные результаты расчетов подтверждают возможность достижения указанного технического результата при использовании заявленного устройства.

Устройство обнаружения удаленных компьютерных атак, содержащее первый блок памяти, снабженный входной шиной сообщений, а его информационный выход подключен к первым информационным входам первого, третьего, четвертого, пятого, шестого, седьмого, десятого, восьмого, девятого и одиннадцатого блоков дешифрации, первый управляющий вход первого блока памяти подключен к управляющему входу первого счетчика, управляющий выход которого подключен ко второму управляющему входу первого блока дешифрации, управляющие выходы которого подключены соответственно к первому управляющему входу блока управления и управляющему входу второго счетчика, первый управляющий выход которого подключен к управляющему входу второго блока дешифрации, управляющий выход которого подключен к управляющему входу второго блока памяти, информационный выход которого подключен к первому информационному входу шестого счетчика, второй управляющий вход которого подключен ко второму управляющему выходу первого блока сравнения, управляющий выход шестого счетчика подключен ко второму управляющему входу шестого блока дешифрации, первый управляющий выход которого подключен к четвертому управляющему входу блока управления, пятый управляющий вход которого подключен к первому управляющему выходу седьмого блока дешифрации, второй управляющий выход которого подключен к управляющему входу восьмого счетчика, второй управляющий выход которого подключен ко вторым управляющим входам десятого, восьмого и девятого блоков дешифрации, первый управляющий выход которого подключен к шестому управляющему входу блока управления, седьмой и восьмой управляющие входы которого подключены соответственно к первому управляющему выходу восьмого блока дешифрации и первому управляющему выходу десятого блока дешифрации, второй управляющий выход которого подключен к управляющему входу девятого счетчика, управляющий выход которого подключен к первому управляющему входу одиннадцатого блока дешифрации, первый управляющий выход которого подключен к десятому управляющему входу блока управления, второй и третий управляющие входы которого подключены соответственно к первому управляющему выходу третьего блока дешифрации и первому управляющему выходу первого блока сравнения, второй информационный вход которого подключен к информационному выходу пятого блока дешифрации, второй управляющий вход которого подключен к управляющему выходу пятого счетчика, информационный вход которого подключен ко второму информационному выходу третьего блока дешифрации, третий информационный выход которого подключен к информационному входу четвертого счетчика, управляющий выход которого подключен ко второму управляющему входу четвертого блока дешифрации, информационный выход которого подключен к третьему информационному входу первого блока сравнения, второй управляющий выход второго счетчика подключен к управляющему входу третьего счетчика, управляющий выход которого подключен ко второму управляющему входу третьего блока дешифрации, второй управляющий выход шестого блока дешифрации подключен к управляющему входу седьмого счетчика, управляющий выход которого подключен ко второму управляющему входу седьмого блока дешифрации, первый, второй и третий управляющие выходы блока управления подключены соответственно к первому и второму управляющим входам первого блока памяти, а также к управляющему входу блока индикации, отличающееся тем, что дополнительно введены второй блок сравнения, двенадцатый блок дешифрации, десятый счетчик, а также третий, пятый и четвертый блоки памяти, первый управляющий выход которого подключен к девятому управляющему входу блока управления, двенадцатый и тринадцатый управляющие входы которого подключены соответственно к первому и второму управляющим выходам второго блока сравнения, первый и второй информационные входы которого подключены соответственно к информационным выходам пятого блока памяти и двенадцатого блока дешифрации, первый управляющий выход которого подключен к одиннадцатому управляющему входу блока управления, первый и второй информационные входы двенадцатого блока дешифрации подключены соответственно к информационному выходу первого блока памяти и управляющему выходу десятого счетчика, управляющий вход которого подключен к первому управляющему выходу восьмого счетчика, второй и третий информационные входы четвертого блока памяти подключены соответственно ко второму информационному выходу одиннадцатого блока дешифрации и вторым информационным выходам восьмого и девятого блоков дешифрации, информационный выход третьего блока памяти подключен к первому информационному входу первого блока сравнения, причем управляющие входы третьего, четвертого и пятого блоков памяти объединены и являются управляющим входом устройства, четвертый блок памяти снабжен информационным выходом подключения к ложной сети.

Изобретение относится к области обеспечения безопасности передаваемой по техническим средствам информации. Техническим результатом является повышение эффективности защиты передаваемой по каналам и линиям связи информации и устойчивости работы средств передачи информации, используемых в подвижных объектах узла связи.

Система переформирования объекта в запросе доступа // 2538918

Изобретение относится к вычислительной технике. Технический результат заключается в обеспечении возможности переформирования системой объекта доступа в запросе доступа при одновременной работе на компьютере нескольких пользователей.

Способ деперсонализации персональных данных // 2538913

Изобретение относится к области защиты информации, хранимой в информационных системах персональных данных (ИСПДн), от несанкционированного доступа (НСД) и может быть использовано на стадиях разработки и оптимизации ИСПДн в защищенном исполнении.

Мобильное платежное устройство, способ предотвращения несанкционированного доступа к платежному приложению и элемент памяти данных // 2538330

Изобретение относится к средствам для предотвращения несанкционированного доступа к платежному приложению, установленному на мобильном платежном устройстве. Техническим результатом является предотвращение несанкционированного доступа к платежному приложению, установленному на мобильном платежном устройстве, или к данным транзакции, хранящимся в этом устройстве.

Устройство создания доверенной среды для компьютеров информационно-вычислительных систем // 2538329

Изобретение относится к вычислительной технике. Технический результат заключается в повышении эффективности защиты компьютера от несанкционированных действий на всех этапах его работы.

Способ обнаружения компьютерных атак на сетевую компьютерную систему // 2538292

Изобретение относится к вычислительной технике. Технический результат заключается в обнаружении компьютерных атак разных видов, комбинированных одновременных атак разных видов и определении видов атак.

Аутентификация устройства и пользователя // 2538283

Изобретение относится к способу и системе для аутентификации воспринимающего устройства и пользователя. Техническим результатом является повышение надежности аутентификации воспринимающего устройства и пользователя, удостоверяющей, что данные, происходящие из устройства, происходят от конкретного устройства и от конкретного пользователя.

Профиль средств обеспечения безопасности смарт-карт в домашнем абонентском сервере // 2537275

Изобретение относится к беспроводной связи. Технический результат - обеспечение безопасности пользовательского оборудования.

Комплексная система аудита и мониторинга информационной безопасности локальной вычислительной сети предприятия // 2537274

Изобретение относится к комплексной системе аудита и мониторинга информационной безопасности локальной вычислительной сети предприятия. Технический результат заключается в повышении точности обнаружения несанкционированного доступа к информации предприятия за счет введения дополнительных модулей аудита.

Способ проверки прав доступа для учетных записей пользователей в грид-системах и система для его осуществления // 2536678

Изобретение относится к вычислительной технике. Технический результат заключается в защите информационных и вычислительных ресурсов грид-систем от несанкционированного доступа.

Система и способ обнаружения вредоносных исполняемых файлов на основании сходства ресурсов исполняемых файлов // 2541120

Изобретение относится к вычислительной технике. Технический результат заключается в повышении эффективности обнаружения вредоносных исполняемых файлов. Система обнаружения вредоносных исполняемых файлов на основании сходства ресурсов исполняемых файлов содержит средство обработки ресурсов для определения вида исполняемого файла и, по крайней мере, одного типа в соответствии с определенным видом исполняемого файла, выявления, по крайней мере, одного ресурса определенного типа исполняемого файла при помощи средства обработки ресурсов, преобразования, по крайней мере, одного выявленного ресурса определенного типа в формат для сравнения и его передачи средству сравнения; средство сравнения для подсчета степени сходства, по крайней мере, одного выявленного ресурса определенного типа с ресурсами упомянутого типа из ресурсов известных вредоносных исполняемых файлов из базы данных ресурсов с помощью алгоритмов сравнения для соответствующих типов ресурсов, передачи результата подсчета степени сходства средству проверки; средство проверки для определения того, является ли исполняемый файл вредоносным при помощи правил определения на основании подсчитанной степени сходства, по крайней мере, одного выявленного ресурса определенного типа с ресурсами упомянутого типа из ресурсов известных вредоносных исполняемых файлов. 2 н. и 1 з.п. ф-лы, 7 ил., 3 табл.

Система и способ определения рейтинга электронных сообщений для борьбы со спамом // 2541123

Изобретение относится к способу и системе определения нежелательных электронных сообщений. Технический результат заключается в повышении защищенности от нежелательных сообщений. В способе проводят предварительный анализ входящих сообщений для выявления, по меньшей мере, одного сообщения, не относящегося к легитимным и нежелательным сообщениям, формируют метаданные, состоящие из набора хеш-сумм и IP-адреса отправителя для выявленного входящего электронного сообщения, с помощью средства подготовки метаданных, передают метаданные, сформированные из электронного сообщения, на средство кластеризации при помощи средства взаимодействия, определяют кластер, к которому относятся переданные метаданные, при помощи средства кластеризации, получают рейтинг кластера, к которому относятся переданные метаданные, при этом полученный рейтинг соответствует рейтингу электронного сообщения и имеет прямую зависимость от количества различных IP-адресов отправителей, соответствующих метаданным в данном кластере, передают рейтинг электронного сообщения на средство принятия решений, определяют, основываясь на рейтинге электронного сообщения и установленном верхнем пороге, является ли сообщение нежелательным при помощи средства принятия решений. 2 н. и 30 з.п. ф-лы, 12 ил.

Способ управления доступом к информационным ресурсам компьютерных сетей различных уровней конфиденциальности // 2541170

Изобретение относится к способу управления доступом к информационным ресурсам компьютерных сетей. Технический результат заключается в повышении защищенности доступа к ресурсам сети. Проверяют, содержится ли запрашиваемый ресурс в базе данных проверенных информационных ресурсов, отключают выход модуля шлюзов, включают вход модуля шлюзов, принимают запрашиваемую информацию в шлюз, записывают принятую информацию в ячейки памяти ОЗУ шлюза, копируют принятую информацию в шлюзы по числу средств защиты информации. По завершении копирования отключают вход модуля шлюзов, одновременно всеми средствами защиты информации проверяют принятую информацию. При успешном завершении работы всех средств защиты информации включают выход модуля шлюзов, записывают проверенную информацию в базу данных проверенных информационных ресурсов, удаляют принятую информацию из шлюзов, если хотя бы одно из средств защиты информации завершило работу неуспешно. 2 ил.

Способ обеспечения целостности программного обеспечения // 2541196

Изобретение относится к области защиты программного обеспечения. Технический результат заключается в повышении безопасности при анализе программного обеспечения. Устройство содержит счетчик программы, память для хранения зашифрованной программы, причем указанная зашифрованная программа содержит набор зашифрованных команд, включающих по меньшей мере код операции, а указанное устройство содержит модуль дешифрования и блок обработки данных и имеет доступ к инициализированному ключу команды, средство рекурсивного обновления ключа команды на основе всего указанного ключа команды или его части и дайджеста по меньшей мере одной предыдущей исполненной команды. 2 н. и 10 з.п. ф-лы, 3 ил.

Способ оценки эффективности информационно-технических воздействий на сети связи // 2541205

Изобретение относится к области диагностирования и контроля технического состояния информационно-телекоммуникационных сетей связи в условиях информационно-технических воздействий. Технический результат заключается в повышении точности оценки вскрытия злоумышленником топологии сети связи и повышении защищенности сети связи при информационно-технических воздействиях на ее структурные элементы. Способ оценки эффективности информационно-технических воздействий на сеть связи заключается в том, что ранжируют все элементы сети связи и определяют весовые коэффициенты каждого элемента сети связи, фиксируют информационно-технические воздействия на ее структурные элементы, по полученным данным формируют имитационную модель сети связи, моделируют на ней информационно-технические воздействия и упреждающе реконфигурируют сеть связи. На основании рассчитанной модели сети связи производится построение действующей сети связи, после того как злоумышленник осуществил воздействие на сеть связи, осуществляется оценка произведенного расчета модели сети связи, на основании оценки воздействия злоумышленником на сеть связи производится дополнение статистических данных о возможностях вскрытия сети связи и воздействия на сеть связи злоумышленником. 8 ил.

Способ активации функции чипсета и чипсет // 2541866

Изобретение относится к криптографии. Технический результат - эффективная защита чипсета. Способ активации функции чипсета включает: принимают по меньшей мере один из следующих элементов: ключ сегментации, ключ общего применения и глобальный селектор криптографического алгоритма; передают по меньшей мере два из следующих элементов: начальное значение, полученный ключ сегментации, ключ общего применения и глобальный селектор криптографического алгоритма, на модуль вычислений, причем начальное значение, полученный ключ сегментации, ключ общего применения и глобальный селектор криптографического алгоритма предоставляются по меньшей мере двумя различными организациями; генерируют в модуле вычислений временный ключ с использованием одного из следующих элементов: по меньшей мере одного криптографического алгоритма модуля вычислений и по меньшей мере двух элементов, выбранных из группы, включающей начальное значение, ключ сегментации, ключ общего применения и глобальный селектор криптографического алгоритма; принимают сообщение об активации с помощью модуля вычислений; принимают код аутентификации указанного сообщения с помощью модуля вычислений, при этом указанный код аутентификации сообщения вычисляется с использованием временного ключа; проверяют аутентичность указанного полученного сообщения с использованием кода аутентификации сообщения и временного ключа; если полученное сообщение является аутентичным, активируют соответствующую функцию чипсета; если полученное сообщение не является аутентичным, запрещают активацию указанной соответствующей функции чипсета. 2 н. и 9 з.п. ф-лы, 1 ил.

Способ аутентификации пользователей с защитой от подсматривания // 2541868

Изобретение относится к области аутентификации пользователей. Техническим результатом является повышение эффективности аутентификации пользователей. Способ аутентификации пользователей с защитой от подсматривания заключается в предварительном формировании набора из N графических символов, где N - натуральное число, значение которого ограничено возможным количеством графических символов, которые могут быть размещены на экране с качеством, позволяющим распознать эти графические символы, предоставлении пользователю выбора из этого набора для запоминания группы S секретных графических символов sk, где k=1…К, где К - количество графических символов в группе S, выбираемое с учетом удобства запоминания пользователем, проведении i-го этапа ввода аутентификационной информации, при этом i=1…I, где I - общее число этапов, путем выведения на экран выбранных из набора произвольным образом Ni графических символов, среди которых в произвольном месте располагается si-й секретный символ, выбранный из группы S секретных символов, формировании невидимой секретной области Аi, фиксировании точки hi воздействия пользователя на экран, формировании положительного результата проведения i-го этапа ввода аутентификационной информации при выполнении условия принадлежности зафиксированной точки воздействия невидимой секретной области hi∈Ai и отрицательного - в противном случае, формировании положительного решения об аутентификации после получения положительных результатов проведения всех I этапов ввода пользователем аутентификационной информации и отрицательного - в противном случае, при этом графические символы из набора N располагают на экране в виде таблицы, в которой символы имеют случайные координаты (Xsi,Ysi), где Xsi=1…а и Ysi=1…b (а - количество строк в таблице, b - количество столбцов в таблице), пользователю предоставляют дополнительно для запоминания жест из базы секретных жестов, каждый из которых сформирован парой чисел (d1,d2), где d1 и d2 - натуральные числа, причем d1 и d2 меньше или равно большему значению из а и b (d1,d2≤max{a,b}), при проведении i-го этапа аутентификации, невидимую секретную область Аi формируют в виде совокупности графических символов таблицы, имеющих координаты (ХSi±md1, YSi±md2), где m -натуральное число, при этом md1 и md2 меньше или равны большему значению из а и b (md1,md2≤max{a,b}), а фиксацию точек воздействия пользователя на экран осуществляют путем выбора любого символа из невидимой секретной области. 4 ил.

Механизм против мошенничества на основе доверенного объекта // 2541879

Изобретение относится к вычислительной технике. Технический результат заключается в предотвращении изменений в аппаратном и/или программном обеспечении, выполняемых в целях мошенничества. Способ предотвращения мошенничества, в котором выполняют первую операционную систему на устройстве, причем первая операционная система выполнена с возможностью допускать установку драйверов устройств без требования, что драйверы устройств должны быть подписаны с помощью конкретного ключа централизованного источника; осуществляют, с помощью доверенного компонента, мониторинг устройства и ограниченной операционной системы, выполняемой на устройстве, причем ограниченную операционную систему обеспечивают с помощью модификации первой операционной системы, выполняемой на устройстве, причем ограниченная операционная система выполнена с возможностью требования, что драйверы устройств должны быть подписаны с помощью конкретного ключа централизованного источника, чтобы быть установленными; ограничивают доступ к ресурсам на основе результатов мониторинга. 3 н. и 17 з.п. ф-лы, 10 ил.

Система и способ повышения защищенности данных организации путем создания изолированной среды // 2541895

Изобретение относится к области защиты информации от несанкционированного доступа, изменения содержания при хранении и передачи данных. Техническим результатом является повышение защищенности данных организации за счет обнаружения нарушений правил работы с данными путем модификации приложений, работающих с этими данными. Способ обнаружения нарушений правил работы с данными включает в себя: а) модификацию кода приложения путем замены вызова функций, работающих с данными, вызовом функций-обработчиков; б) сбор информации об обращениях модифицированного приложения к функциям, работающим с данными, через вызов соответствующих функций-обработчиков; в) анализ информации, собранной на этапе б), на предмет несоответствия правилам работы с данными, установленными политикой безопасности; г) обнаружение нарушения правил работы с данным на основании анализа. 2 н. и 4 з.п. ф-лы, 8 ил.

Способ гарантированной защиты передаваемой по радиоканалу информации от неправомерного доступа с помощью специального кодирования (преобразования) информации при открытом хранении параметров кодирования // 2541901

Изобретение относится к области информационной безопасности. Техническим результатом является обеспечение гарантированной защиты передаваемой по радиоканалу информации без использования средств ограниченного доступа. Способ гарантированной защиты передаваемой по радиоканалу информации от неправомерного доступа с помощью кодирования информации при открытом хранении параметров кодирования предусматривает организацию рабочего места работы с ПЛИС и/или СБИС, отвечающего требованиям безопасности информации, оборудование которого включает персональный компьютер, датчик случайных чисел, электронное коммутирующее устройство, и выполнение на таком рабочем месте: аппаратной записи индивидуального параметра кодирования на, по меньшей мере, участке однократно программируемой памяти средства защиты передаваемой информации, расположенного в ПЛИС или СБИС, причём индивидуальный параметр кодирования остается в указанной памяти, как неизвестная случайная величина; формирование в ПЛИС или СБИС рабочего параметра кодирования, выделенного для открытой передачи и/или хранения, причем рабочий параметр кодирования формируют с помощью указанного индивидуального параметра кодирования и параметра кодирования, поступившего с оборудования упомянутого рабочего места, при использовании для формирования рабочего параметра и для кодирования информации алгоритма преобразования информации согласно ГОСТ 28147-89. 3 ил.