Устройство обнаружения компьютерных атак в маршрутах

Изобретение относится к области электросвязи и предназначено для использования в технических средствах защиты с целью оперативного выявления компьютерных атак в доверенных маршрутах информационно-телекоммуникационной сети (ИТКС). Техническим результатом является повышение достоверности обнаружения компьютерных атак в маршрутах ИТКС. Устройство обнаружения компьютерных атак в маршрутах содержит счетчики (2, 5, 7, 9, 10, 14, 16, 18), блоки дешифрации (3, 4, 8, 11, 12, 15, 17, 19), блоки сравнения (13, 28), центральный блок управления (30), блок управления (24), блок индикации (25) и блоки памяти (1, 6, 26, 29, 31). Первый блок памяти (1) снабжен входной шиной сообщений, а его информационный выход подключен к первым информационным входам первого (3), третьего (8), четвертого (11), пятого (12), шестого (15), седьмого (17) и восьмого (19) блоков дешифрации, управляющие выходы которых подключены к соответствующим управляющим входам блока управления, управляющие выходы которого подключены к блоку индикации и первому блоку памяти. Управляющие выходы счетчиков подключены к управляющим входам соответствующих блоков дешифрации. Информационные выходы четвертого (11) и пятого (12) блоков дешифрации подключены к первому блоку сравнения (13), информационный выход которого подключен к третьему блоку памяти (26). Информационный вход пятого блока памяти (31) подключен к информационному выходу второго блока сравнения (28). Управляющий вход блока центрального управления передающим устройством (30) подключен к информационному выходу пятого блока памяти (31). Причем управляющие входы третьего блока памяти (26), четвертого блока памяти (29) и пятого блока памяти (31) объединены и являются управляющим входом устройства. 6 ил.

 

Изобретение относится к области электросвязи и предназначено для использования в технических средствах защиты с целью оперативного выявления компьютерных атак в доверенных маршрутах передачи пакетов сообщений.

Известно устройство защиты информационных ресурсов вычислительной сети по патенту РФ №2313127, опубл. 20.12.2007. Устройство-аналог состоит из серверов с блоками памяти, промежуточной памяти, коммутатора, коннекторов, линий обмена данными и блока управления.

Недостатком указанного способа является отсутствие возможности выявления компьютерных атак, направленных на ввод ложной информации в пакеты сообщений.

Известно устройство защиты информации от несанкционированного доступа для компьютеров информационно-вычислительных систем по патенту РФ №2321055, опубл. 27.03.2008. Устройство-аналог состоит из контроллера обмена информацией с внешним носителем информации, контроллера обмена информацией с компьютером, процессора идентификации и аутентификации пользователей, блока энергонезависимой памяти, модуля блокировки общей шины управления и обмена данными компьютера, устройства контроля питания, блока интерфейсов внешних устройств, модуля блокирования внешних устройств, аппаратного датчика случайных чисел, микроконтроллера датчиков вскрытия и извлечения компонентов компьютера с собственным независимым источником питания, оперативного запоминающего устройства, модуля постоянной аутентификации пользователя, модуля проверки целостности и состояния аппаратных компонентов устройства защиты, модуля управления загрузкой ключей аппаратного шифратора, модуля управления сетевыми адаптерами, модуля взаимодействия с системой разграничения доступа и модуля взаимодействия с серверами информационно-вычислительной системы.

Недостатком указанного способа является узкая область применения, обусловленная тем, что несмотря на возможность обнаружения несанкционированного доступа к компьютерам в нем не предусмотрена возможность предотвращения удаленных компьютерных атак.

Наиболее близким аналогом (прототипом) по своей технической сущности к заявленному устройству обнаружения удаленных компьютерных атак является устройство поиска информации по патенту РФ №2301443, опубл. 20.06.2007.

Устройство-прототип состоит из блока памяти, вход которого является входом устройства, а выход подключен к информационному входу первого блока дешифрации, второй вход которого подключен к первому счетчику, а выход - к входу второго счетчика, первый выход которого соединен с вторым входом второго блока дешифрации, первый вход которого подключен к выходу первого блока памяти, выход второго блока дешифрации соединен с входом второго блока памяти, а выход второго счетчика через третий счетчик соединен с первым входом третьего блока дешифрации, второй вход которого подключен к выходу первого блока памяти, первый и второй выходы третьего блока дешифрации подключены через четвертый и пятый счетчики соответственно к первым входам четвертого и пятого блоков дешифрации, вторые входы которых соединены с выходом первого блока памяти, а выходы четвертого и пятого блоков дешифрации подключены соответственно к первому и второму входам первого блока сравнения, входы блока управления подключены к второму выходу первого блока дешифрации, к третьему выходу третьего блока дешифрации, к второму выходу первого блока сравнения, к второму выходу шестого блока дешифрации, к первому выходу седьмого блока дешифрации, к выходу восьмого блока дешифрации, к выходу девятого блока дешифрации, к первому выходу десятого блока дешифрации, к двум выходам одиннадцатого блока дешифрации, а одиннадцатый выход блока управления подключен к входу первого счетчика и к первому блоку памяти, причем выход второго блока памяти соединен с первым входом шестого счетчика, второй вход которого подключен к выходу первого блока сравнения, а его выход - к входу шестого блока дешифрации, первый выход которого соединен с входом седьмого счетчика, выход которого подключен к входу седьмого блока дешифрации, второй выход которого соединен с входом восьмого счетчика, а выход восьмого счетчика подключен к первому входу восьмого, девятого и десятого блоков дешифрации, вторые входы каждого из которых соединены с выходом первого блока памяти, к которому также подключены вторые входы седьмого, шестого и одиннадцатого блоков дешифрации, причем второй выход десятого блока дешифрации соединен с входом девятого счетчика, выход которого подключен к первому входу одиннадцатого блока дешифрации.

Недостатком прототипа является относительно низкая достоверность обнаружения компьютерных атак из-за отсутствия возможности заблаговременно выявлять удаленные компьютерные атаки, направленные на ввод ложной информации в пакеты сообщений.

Целью изобретения является разработка устройства обнаружения в резервных доверенных маршрутах компьютерных атак, компьютерных атак, направленных на хищение, искажение и ввод ложной информации, а также перенаправление графика, обеспечивающего повышение достоверности обнаружения компьютерных атак за счет возможности заблаговременного их выявления.

Поставленная цель достигается тем, что в известном устройстве обнаружения компьютерных атак в маршрутах, содержащем первый блок памяти, снабженный входной шиной сообщений, а его информационный выход подключен к первым информационным входам первого, третьего, четвертого, пятого, шестого, седьмого, восьмого блоков дешифрации, первый управляющий вход первого блока памяти подключен к управляющему входу первого счетчика, информационный выход которого подключен к второму информационному входу первого блока дешифрации, управляющий и информационный выходы которого подключены соответственно к первому управляющему входу блока управления и информационному входу второго счетчика, первый информационный выход которого подключен к информационному входу второго блока дешифрации, информационный выход которого подключен к информационному входу второго блока памяти, информационный выход которого подключен к первому информационному входу шестого счетчика, второй информационный вход которого подключен к второму информационному выходу первого блока сравнения, информационный выход шестого счетчика подключен к второму информационному входу шестого блока дешифрации, первый управляющий выход которого подключен к четвертому управляющему входу блока управления, пятый управляющий вход которого подключен к первому управляющему выходу седьмого блока дешифрации, второй информационный выход которого подключен к информационному входу восьмого счетчика, выход которого подключен к второму информационному входу восьмого блока дешифрации, первый управляющий выход которого подключен к шестому управляющему входу блока управления, второй и третий управляющие входы блока управления подключены соответственно к первому управляющему выходу третьего блока дешифрации и первому управляющему выходу первого блока сравнения, второй информационный вход которого подключен к выходу пятого блока дешифрации, второй информационный вход которого подключен к выходу пятого счетчика, информационный вход которого подключен к второму информационному выходу третьего блока дешифрации, третий информационный выход которого подключен к входу четвертого счетчика, выход которого подключен к второму информационному входу четвертого блока дешифрации, выход которого подключен к третьему информационному входу первого блока сравнения, второй информационный выход второго счетчика подключен к информационному входу третьего счетчика, информационный выход которого подключен к второму информационному входу третьего блока дешифрации, второй информационный выход шестого блока дешифрации подключен к входу седьмого счетчика, выход которого подключен к второму информационному входу седьмого блока дешифрации, первый, второй и третий управляющие выходы блока управления подключены соответственно к первому, второму управляющим входам первого блока памяти и к управляющему входу блока индикации, отличающееся тем, что дополнительно введены второй блок сравнения, блок центрального управления передающим устройством, третий, пятый и четвертый блоки памяти. Выход четвертого блока памяти подключен к второму информационному входу второго блока сравнения, первый информационный вход и первый управляющий выход которого подключены соответственно к второму информационному выходу восьмого блока дешифрации и седьмому управляющему входу блока управления. Четвертый управляющий выход блока управления подключен к первому управляющему входу блока центрального управления передающим устройством, второй информационный вход которого подключен к информационному выходу пятого блока памяти. Второй информационный вход пятого блока памяти подключен к второму информационному выходу второго блока сравнения. Информационный выход третьего блока памяти подключен к первому информационному входу первого блока сравнения. Причем управляющие входы третьего блока памяти, четвертого блока памяти и пятого блока памяти объединены и являются управляющим входом устройства.

Благодаря новой совокупности существенных признаков в заявленном устройстве за счет постоянного мониторинга доверенных маршрутов передачи пакетов сообщений на наличие компьютерных атак, направленных на хищение, искажение и ввод ложной информации, а также перенаправление трафика, представляется возможным более оперативно прогнозировать факт воздействия компьютерных атак (КА), что указывает на возможность повышения достоверности обнаружения компьютерных атак.

Заявленное устройство поясняется чертежами, на которых показаны:

на фиг. 1 - структурная схема устройства обнаружения компьютерных атак в маршрутах;

на фиг. 2 - структурная схема блока управления;

на фиг 3 - блок-схема алгоритма работы устройства;

на фиг. 4 - структура заголовка IP-пакета;

на фиг. 5 - структура заголовка TCP-пакета;

на фиг. 6 - зависимость вероятности передачи пакетов сообщений от объема передаваемых пакетов сообщений.

Заявленное устройство обнаружения компьютерных атак в маршрутах, показанное на фиг. 1, состоит из первого (1), второго (6), третьего (26), четвертого (29) и пятого (31) блоков памяти, первого (2), второго (5), третьего (7), четвертого (9), пятого (10), шестого (14), седьмого (16) и восьмого (18) счетчиков, первого (3), второго (4), третьего (8), четвертого (11), пятого (12), шестого (15), седьмого (17) и восьмого (19) блоков дешифрации, первого (13) и второго (28) блоков сравнения, центрального блока управления (30), блока управления (24) и блока индикации (25). Первый блок памяти 1 снабжен входной шиной сообщений, а его информационный выход 1.3 подключен к первым информационным входам первого 3, третьего 8, четвертого 11, пятого 12, шестого 15, седьмого 17, восьмого 19 блоков дешифрации. Первый управляющий вход 1.1 первого блока памяти 1 подключен к управляющему входу 2.1 первого счетчика 2, информационный выход 2.2 которого подключен к второму информационному входу 3.2 первого блока дешифрации 3, управляющий 3.3 и информационный 3.4 выходы которого подключены соответственно к первому управляющему входу 24.1 блока управления 24 и информационному входу 5.1 второго счетчика 5. Первый информационный выход 5.2 второго счетчика 5 подключен к информационному входу 4.1 второго блока дешифрации 4, информационный выход 4.2 которого подключен к информационному входу 6.1 второго блока памяти 6, информационный выход 6.2 которого подключен к первому информационному входу 14.1 шестого счетчика 14. Второй информационный вход 14.2 шестого счетчика 14 подключен к второму информационному выходу 13.5 первого блока сравнения 13, информационный выход 14.3 шестого счетчика 14 подключен к второму информационному входу 15.2 шестого блока дешифрации 15, первый управляющий выход 15.3 которого подключен к четвертому управляющему входу 24.4 блока управления 24, пятый управляющий вход 24.5 которого подключен к первому управляющему выходу 17.3 седьмого блока дешифрации 17. Второй информационный выход 17.4 блока дешифрации 17 подключен к информационному входу 18.1 восьмого счетчика 18, выход 18.2 которого подключен к второму информационному входу 19.2 восьмого блока дешифрации 19, первый управляющий выход 19.3 которого подключен к шестому 24.6 управляющему входу блока управления 24, второй 24.2 и третий 24.3 управляющие входы которого подключены соответственно к первому управляющему выходу 8.3 третьего блока дешифрации 8 и первому управляющему выходу 13.4 первого блока сравнения 13. Второй информационный вход 13.2 первого блока сравнения 13 подключен к выходу 12.3 пятого блока дешифрации 12, второй информационный вход 12.2 которого подключен к выходу 10.2 пятого счетчика 10, информационный вход 10.1 которого подключен к второму информационному выходу 8.4 третьего блока дешифрации 8, третий информационный выход 8.5 которого подключен к входу 9.1 четвертого счетчика 9, выход 9.2 которого подключен к второму информационному входу 11.2 четвертого блока дешифрации 11, выход 11.3 которого подключен к третьему информационному входу 13.3 первого блока сравнения 13. Второй информационный выход 5.3 второго счетчика 5 подключен к информационному входу 7.1 третьего счетчика 7, информационный выход 7.2 которого подключен к второму информационному входу 8.2 третьего блока дешифрации 8. Второй информационный выход 15.4 шестого блока дешифрации 15 подключен к входу 16.1 седьмого счетчика 16, выход 16.2 которого подключен к второму информационному входу 17.2 седьмого блока дешифрации 17. Первый 24.8, второй 24.9 и третий 24.10 управляющие выходы блока управления 24 подключены соответственно к первому 1.1 и второму 1.2 управляющим входам первого блока памяти 1 и к управляющему входу 25.1 блока индикации 25. Выход 29.2 четвертого блока памяти 29 подключен к второму информационному входу 28.2 второго блока сравнения 28, первый информационный вход 28.1 и первый управляющий выход 28.3 которого подключены соответственно к второму информационному выходу 19.4 восьмого блока дешифрации 19 и седьмому управляющему входу 24.7 блока управления 24. Четвертый управляющий выход 24.11 блока управления 24 подключен к первому управляющему входу 30.1 блока центрального управления передающим устройством 30, второй информационный вход 30.2 которого подключен к информационному выходу 31.3 пятого блока памяти 31. Второй информационный вход 31.2 пятого блока памяти 31 подключен к второму информационному выходу 28.4 второго блока сравнения 28. Информационный выход 26.1 третьего блока памяти 26 подключен к первому информационному входу 13.1 первого блока сравнения 13. Причем управляющие входы 26.2 третьего блока памяти 26, 29.1 четвертого блока памяти 29 и 31.1 пятого блока памяти 31 объединены и являются управляющим входом устройства.

Входящие в устройство обнаружения компьютерных атак в маршрутах (УОКАМ) блоки имеют следующее назначение:

Первый 1 и второй 6 блоки памяти предназначены соответственно для хранения и последующего считывания с них байтов (битов) пакетов сообщений, поступающих с демодулирующего устройства и блока дешифрации.

Третий 26, четвертый 29 и пятый 31 блоки памяти предназначены для записи и хранения соответствующих эталонных значений параметров IP-адресов (отправителей и получателей) и поля «Опции», а также доверенных маршрутов.

Схемы их известны и описаны в патенте РФ №2115952 (фиг. 2).

Первый счетчик 2 предназначен для отсчета 14 байтов в цифровой последовательности для определения IP-пакета (фиг. 3) и выработки управляющего сигнала для первого блока дешифрации 3.

Второй счетчик 5 предназначен для отсчета 4 бит для обнаружения поля «Длина заголовка» пакета сообщения.

Третий счетчик 7 предназначен для отсчета 8 байт с целью обнаружения 24-го байта пакета и выработки управляющего сигнала для третьего блока дешифрации 8.

Четвертый счетчик 9 предназначен для отсчета 3 байт до первого байта поля адреса отправителя в заголовке IP-дейтаграммы и выработки управляющего сигнала для четвертого блока дешифрации 11.

Пятый счетчик 10 предназначен для отсчета 4 байт до первого байта поля адреса получателя в заголовке IP-дейтаграммы и выработки управляющего сигнала для пятого блока дешифрации 12.

Шестой счетчик 14 предназначен для определения поля, содержащего номер порта отправителя пакета сообщения в заголовке TCP-пакета (фиг. 4).

Седьмой счетчик 16 предназначен для определения поля, содержащего значение резервных битов заголовка TCP-пакета.

Восьмой счетчик 18 предназначен для определения поля «Опции» заголовка TCP-пакета и выработки управляющих сигналов для восьмого 20 блока дешифрации.

Схема счетчиков известны и описаны в патенте РФ №2219577 (фиг. 6).

Первый блок дешифрации 3 предназначен для определения в последовательности поступающих данных протокола IP.

Второй блок дешифрации 4 предназначен для определения значения «Длина заголовка».

Третий блок дешифрации 8 предназначен для определения протокола TCP за счет выявления в 24-ом байте числового значения «шесть» в десятичном виде.

Четвертый 11 и пятый 12 блоки дешифрации предназначены для записи в них по четыре байта 27-30 и 31-34 полей адреса отправителя и адреса получателя соответственно.

Шестой блок дешифрации 15 предназначен для определения записи 35 и 36 байтов и определяет числовое значение «ноль» (00) в десятичном виде.

Седьмой блок дешифрации 17 предназначен для определения значения поля резервных бит.

Восьмой блок дешифрации 19 предназначен для определения значения «Опции».

Схема блоков дешифрации известны и описаны в патенте РФ №2219577 (фиг. 2).

Первый блок сравнения 13 предназначен для сравнения значений IP-адресов отправителя и получателя с соответствующими эталонными значениями и выработки управляющих сигналов на блок управления 24.

Второй блок сравнения 28 предназначен для сравнения значений поля «Опции» с соответствующими эталонными значениями и выработки управляющих сигналов на блок управления 24.

Схема компараторов известна и описана на рис. 1.134 стр. 185 в книге Шило В.Л. «Популярные цифровые микросхемы»: Справочник - М.: Радио и связь, 1987.

Блок центрального управления передающим устройством (30) предназначен для формирования, накопления и хранения контрольных пакетов сообщений передаваемых по доверенным маршрутам.

Центральный блок управления 30 может быть реализован, например, на микропроцессоре (К580ИК80), РICконтроллере (PIC16C5X) или микроЭВМ (СОР800).

Блок управления 24 предназначен для выработки управляющих сигналов при реализации требуемого алгоритма работы устройством обнаружения удаленных компьютерных атак. Схема блока управления 24 может быть реализована различным образом, в частности, как показано на фиг. 2.

Блок управления 24 содержит элементы ИЛИ 24.1 и 24.3, устройство задержки 24.2 и шифраторы 24.4-24.7. Схемы элементов ИЛИ известны и показаны на рис. 167 стр. 78 в книге Якубовский С. В. «Цифровые и аналоговые интегральные микросхемы»: Справочник. - М.: Радио и связь, 1990.

В качестве устройства задержки 24.2 может быть использована одна из известных микросхем, например, показанная на рис. 1.78 стр. 111 в книге Шило В.Л. «Популярные цифровые микросхемы»: Справочник - М: Радио и связь, 1987.

В качестве шифраторов 24.4-24.7 может быть использована одна из известных микросхем, например, показанная на рис. 1.101 стр. 141 в книге Шило В.Л. «Популярные цифровые микросхемы»: Справочник - М.: Радио и связь, 1987.

Блок индикации 25 предназначен для визуального отображения принятого решения. Схемы индикаторов известны и описаны на рис. 7.1 на стр. 197 в книге Вениаминов В.Н., Лебедев О.Н., Мирошниченко А.И. «Микросхемы и их применение»: Справочное пособие. - М.: Радио и связь, 1989.

Разрядность шины «Входная шина сообщений» и «Выходная шина сообщений» определяется разрядностью анализируемых пакетов сообщений, в связи с тем, что устройство обрабатывает байты, шина является восьмиразрядной.

Заявленное УОКАМ работает следующим образом.

В исходном состоянии в оперативном запоминающем устройстве блока центрального управления передающим устройством сформирован необходимый для передачи контрольный пакет сообщения, а первый блок памяти в исходном состоянии готов к приему контрольных сообщений от других устройств обнаружения компьютерных атак в маршрутах. Каждые 6 минут соответствующие устройства, расположенные в информационно-телекоммуникационной сети, автоматически передают контрольные сообщения по всем доверенным маршрутам.

При получении с выхода блока управления 24 разрешения на запись (логическая «1») производится заполнение ячеек оперативного запоминающего устройства первого блока памяти 1 байтами контрольного пакета сообщений (КПС), поступившего с демодулирующего устройства (канального контроллера). После того как записаны все байты очередного КПС анализируемого протокола, на выходе блока управления 24 формируется разрешение на побайтное считывание информации (логический «0»).

С выхода первого блока памяти 1 байты КПС последовательно поступают на информационные входы первого 3, второго 4, третьего 8, четвертого 11, пятого 12, шестого 15, седьмого 17, восьмого 19 блоков дешифрации.

При поступлении на вход 2.1 первого счетчика 2 сигнала с блока управления 24 (логический «0») считывается 14 байт для определения в сигнальной цифровой последовательности значения «шесть» (06) в десятичном виде, соответствующего наличию в КПС протокола IP. Необходимо отметить, что в заявке рассматривается формат КПС Ethernet 802.3 // LLC. (Кульгин М. Технологии корпоративных сетей. Энциклопедия. - СПб.: Издательство «Питер», 1999. - 704 с.).

Если значение «шесть» не найдено, на первом выходе 3.3 первого блока дешифрации 3 формируется сигнал, поступающий на первый вход 24.1 блока управления 24.

На втором выходе 3.4 первого дешифратора 3 формируется управляющий сигнал, поступающий на второй счетчик 5, который отсчитывает 4 бита для обнаружения значения поля «Длина заголовка» и вырабатывает на первом выходе 5.2 управляющий сигнал разрешения записи этих бит во второй блок дешифрации 4, который служит для определения значения поля «Длина заголовка». На выходе второго блока дешифрации 4 формируется сигнал для записи значения поля «Длина заголовка» во второй блок памяти 6.

На втором выходе 5.3 второго счетчика 5 формируется управляющий сигнал, поступающий на третий счетчик 7, который отсчитывает 8 байт для обнаружения 24-го байта пакета и вырабатывает управляющий сигнал разрешения записи этого байта в третий блок дешифрации 8. Блок дешифрации 8 предназначен для определения в этом байте числового значения «шесть» (06) в десятичном виде. В этом случае используемым протоколом является TCP (Кульгин М. Технологии корпоративных сетей. Энциклопедия. - СПб.: Издательство «Питер», 1999. - 704 с.).

Если значение «шесть» не найдено, то на первом выходе 8.3 третьего блока дешифрации 8 формируется сигнал, поступающий на второй вход блока управления 24.

На третьем выходе 8.5 третьего блока дешифрации 8 формируется сигнал, поступающий на четвертый счетчик 9, который отсчитывает 3 байта до появления первого байта поля адреса отправителя в заголовке IP-дейтаграммы и вырабатывает на выходе 9.2 управляющий сигнал разрешения записи следующих четырех байтов сигнальных цифровых последовательностей (27-30) в четвертый блок дешифрации 11. На втором выходе 8.4 третьего блока дешифрации 8 формируется сигнал, поступающий на пятый счетчик 10, который отсчитывает 4 байта до первого поля адреса получателя в заголовке IP-дейтаграммы и вырабатывает на выходе 10.2 управляющий сигнал разрешения записи следующих четырех байтов сигнальных цифровых последовательностей (31-34) в пятый блок дешифрации 12.

В первом блоке сравнения 13 выделенные значения параметров адресов сравниваются с соответствующими эталонными значениями, хранящимися в третьем блоке памяти 26, и в случае их совпадения на втором выходе блока 13 вырабатывается управляющий сигнал в виде логической «1», поступающей на третий вход блока управления 24. Если адреса не совпали, вырабатывается управляющий сигнал - логический «0».

На втором выходе 13.5 первого блока сравнения 13 вырабатывается управляющий сигнал, поступающий на второй вход 14.2 шестого счетчика 14, который отыскивает поле, содержащее номер порта источника в заголовке TCP. На выходе 14.3 шестого счетчика 14 вырабатывается управляющий сигнал разрешения записи следующих двух байтов сигнальных цифровых последовательностей в шестой блок дешифрации 15. Шестой блок дешифрации 15 предназначен для определения в этом байте числового значения «ноль» (00) в десятичном виде. В этом случае на втором выходе блока 15 вырабатывается управляющий сигнал, поступающий на четвертый вход блока управления 24.

С первого выхода шестого блока дешифрации 15 поступает управляющий сигнал на седьмой счетчик 16, который отыскивает поле, содержащее значение резервных битов заголовка TCP-пакета. Седьмой счетчик 16 вырабатывает управляющие сигналы для записи в седьмой блок дешифрации 17 следующих 6 бит. Седьмой блок дешифрации 17 предназначен для определения значения поля резервных бит. Если это значение отлично от «нуля» (00) в десятичном виде, на первом выходе дешифратора 17 формируется управляющий сигнал, поступающий на пятый вход блока управления 24.

Со второго выхода 17.4 седьмого блока дешифрации 17 формируется управляющий сигнал, поступающий на восьмой счетчик 18, который отыскивает поле «Опции».

Восьмой счетчик 18, который отчитывает 4 байта для определения значения поля «Опции» и вырабатывает на первом выходе управляющий сигнал разрешения сохранения этих байт в восьмой блок дешифрации 19, который служит для определения параметров поля «Опции».

Поле «Опции» является необязательным и имеет переменную длину. Поддержка опций должна реализоваться во всех модулях IP (узлах и маршрутизаторах). Стандартом определены 8 опций. В предлагаемом устройстве используется опция - «запись маршрута» и/или «безопасности» [RFC 791, Internet Protocol, 1981, сентябрь, стр. 14-22].

Во втором блоке сравнения 28 выделенные параметры поля «Опции» сравниваются с эталонными значениями, хранящимися в четвертом блоке памяти 29, и в случае их совпадения на первом выходе блока сравнения 28 вырабатывается управляющий сигнал в виде логической «1», поступающей на седьмой вход блока управления 24. Если значения поля «Опции» не совпали, на первом выходе вырабатывается управляющий сигнал - логический «0», поступающий на двенадцатый вход блока управления 24.

После выделения всех параметров КПС информация о наличии или отсутствии воздействия на КПС в каждом доверенном маршруте сохраняется в пятом блоке памяти 31 и обновляется каждые 7 минут.

При поступлении управляющего сигнала на первый вход блока управления 24 формируется управляющий сигнал на его первом выходе.

При поступлении управляющего сигнала на второй вход блока управления 24 включается линия задержки до момента поступления сигнала на его третий вход, после чего формируется управляющий сигнал на первом выходе блока управления 24.

При поступлении управляющего сигнала на входы с третьего по шестой блока управления 24 подключается соответствующий шифратор. Шифратор необходим для преобразования сигналов, поступающих на его информационный вход в кодовую комбинацию, соответствующую сообщению, которое передается на второй выход блока управления 24.

При получении на седьмой вход блока управления 24 управляющего сигнала на его втором и четвертом выходе формируется управляющий сигнал, поступающий на первый блок памяти 1, по которому происходит обнуление ячеек памяти и блок центрального управления передающим устройством, по которому происходит запись информации о состоянии доверенного маршрута. Устройство готово к ведению анализа вновь поступающих КПС.

Через управляющий вход устройства администратор обновляет эталонные значения параметров КПС. Для этого администратор в тестовом режиме функционирования ИТКС измеряет реальные значения полей данных КПС для маршрута между каждой парой доверенных адресов получателя и отправителя. После передачи КПС по ИТКС от отправителя к получателю сообщения по определенному маршруту адреса отправителя и получателя (поля «IP адрес отправителя», «IP адрес получателя») и маршрут прохождения КПС (поле «опции») будут иметь одинаковые значение для всех КПС, проходящих по этому маршруту. Эти значения запоминают в соответствующие блоки памяти. После того как все эталонные значения проверяемых параметров собраны и записаны в соответствующие блоки памяти, осуществляется перевод ИТКС в режим реальной работы.

Таким образом, благодаря постоянному мониторингу резервных доверенных маршрутов передачи пакетов сообщений на наличие компьютерных атак, направленных на хищение, искажение и ввод ложной информации, а также перенаправление трафика повысилась достоверность их обнаружения, характеризуемая вероятностью обнаружения (Робн). С помощью моделирования получена взаимосвязь значений вероятности обнаружении компьютерных атак от времени диагностики маршрутов КПС.

Для этого была построена профильная модель устройства обнаружения компьютерных атак в маршрутах и метод топологического преобразования стохастических сетей [Привалов А.А. Метод топологического преобразования стохастических сетей и его использование для анализа систем связи ВМФ. - СПб: ВМА, 2000 г.].

Достижение технического результата поясняется следующим образом. Для устройства-прототипа из-за отсутствия возможности периодической диагностики резервных доверенных маршрутов на наличие в них воздействия компьютерных атак вероятность обнаружения компьютерных атак (Р1обн) ниже, чем у прототипа (Р2обн) в 3,5 раза.

При этом разница в вероятности обнаружения компьютерных атак тем больше, чем больше время диагностики резервных доверенных маршрутов, чем и достигается сформулированный технический результат, т.е. повышение достоверности обнаружения компьютерных атак.

Полученные результаты расчетов подтверждают возможность достижения указанного технического результата при использовании заявленного устройства.

Устройство обнаружения компьютерных атак в маршрутах, содержащее первый блок памяти, снабженный входной шиной сообщений, а его информационный выход подключен к первым информационным входам первого, третьего, четвертого, пятого, шестого, седьмого, восьмого блоков дешифрации, первый управляющий вход первого блока памяти подключен к управляющему входу первого счетчика, информационный выход которого подключен к второму информационному входу первого блока дешифрации, управляющий и информационный выходы которого подключены соответственно к первому управляющему входу блока управления и информационному входу второго счетчика, первый информационный выход которого подключен к информационному входу второго блока дешифрации, информационный выход которого подключен к информационному входу второго блока памяти, информационный выход которого подключен к первому информационному входу шестого счетчика, второй информационный вход которого подключен к второму информационному выходу первого блока сравнения, информационный выход шестого счетчика подключен к второму информационному входу шестого блока дешифрации, первый управляющий выход которого подключен к четвертому управляющему входу блока управления, пятый управляющий вход которого подключен к первому управляющему выходу седьмого блока дешифрации, второй информационный выход которого подключен к информационному входу восьмого счетчика, выход которого подключен к второму информационному входу восьмого блока дешифрации, первый управляющий выход которого подключен к шестому управляющему входу блока управления, второй и третий управляющие входы блока управления подключены соответственно к первому управляющему выходу третьего блока дешифрации и первому управляющему выходу первого блока сравнения, второй информационный вход которого подключен к выходу пятого блока дешифрации, второй информационный вход которого подключен к выходу пятого счетчика, информационный вход которого подключен к второму информационному выходу третьего блока дешифрации, третий информационный выход которого подключен к входу четвертого счетчика, выход которого подключен к второму информационному входу четвертого блока дешифрации, выход которого подключен к третьему информационному входу первого блока сравнения, второй информационный выход второго счетчика подключен к информационному входу третьего счетчика, информационный выход которого подключен к второму информационному входу третьего блока дешифрации, второй информационный выход шестого блока дешифрации подключен к входу седьмого счетчика, выход которого подключен к второму информационному входу седьмого блока дешифрации, первый, второй и третий управляющие выходы блока управления подключены соответственно к первому, второму управляющим входам первого блока памяти и к управляющему входу блока индикации, отличающееся тем, что дополнительно введены второй блок сравнения, блок центрального управления передающим устройством, третий, пятый блоки памяти и четвертый блок памяти, выход которого подключен к второму информационному входу второго блока сравнения, первый информационный вход и первый управляющий выход которого подключены соответственно к второму информационному выходу восьмого блока дешифрации и седьмому управляющему входу блока управления, четвертый управляющий выход которого подключен к первому управляющему входу блока центрального управления передающим устройством, второй информационный вход которого подключен к информационному выходу пятого блока памяти, второй информационный вход которого подключен к второму информационному выходу второго блока сравнения, информационный выход третьего блока памяти подключен к первому информационному входу первого блока сравнения, причем управляющие входы третьего блока памяти, четвертого блока памяти и пятого блока памяти объединены и являются управляющим входом устройства.



 

Похожие патенты:

Изобретение относится к вычислительной технике. Технический результат заключается в повышении степени защищенности информации, хранящейся на внешнем носителе.

Изобретение относится к вычислительной технике. Технический результат заключается в устранении нарушений в работе операционной системы за счет загрузки кода по меньшей мере одного программного модуля в главную память посредством процессора системы безопасности.

Изобретение относится к вычислительной технике. Технический результат заключается в обеспечении защиты карты.

Изобретение относится к области защиты от несанкционированного доступа к информации. Технический результат заключается в расширении функциональных возможностей системы контроля доступа к ресурсам за счет реализации функций обнаружения и предотвращения вторжений.

Изобретение относится к области вычислительной техники, а именно к области защиты от несанкционированного доступа (НСД) к информации, создаваемой и хранимой в компьютерных системах (КС).

Изобретение относится к области защиты от несанкционированного доступа к информации, создаваемой и хранимой в компьютерных системах. Техническим результатом является повышение эффективности контроля доступа к файлам.

Изобретение относится к области аутентификации пользователей. Техническим результатом является повышение эффективности аутентификации пользователей.

Изобретение относится к вычислительной технике. Технический результат заключается в обеспечении возможности переформирования системой объекта доступа в запросе доступа при одновременной работе на компьютере нескольких пользователей.

Изобретение относится к вычислительной технике. Технический результат заключается в повышении эффективности защиты компьютера от несанкционированных действий на всех этапах его работы.

Изобретение относится к области защиты хранилища данных компьютера. Техническим результатом является повышение эффективности защиты хранилища данных.

Изобретение относится к информационной безопасности. Технический результат заключается в повышении эффективности защиты от несанкционированного доступа (НСД) к аппаратным и программным компонентам и к информации, хранимой и обрабатываемой в ПК. Устройство создания доверенной среды и защиты информации от НСД содержит управляющий микроконтроллер, энергонезависимую флэш-память, энергонезависимую быстродействующую память, быстродействующий электронный ключ, накопитель на основе микросхемы флэш-памяти с интерфейсом SPI, блок переключателей для выбора режима работы устройства, при этом устройство выполнено в виде отдельного автономного блока, и дополнительно включает в себя универсальный разъем стандарта PCI Express М.2 Specification, через который реализованы интерфейсы взаимодействия устройства с материнской платой компьютера, преобразователь уровня сигнала чипсета, включенный в состав быстродействующего электронного ключа, независимое от чипсета устройство блокировки и управления основным питанием компьютера и интерфейс идентификации модели материнской платы для автоматической настройки параметров взаимодействия с ней устройства. 1 з.п. ф-лы, 2 ил.

Изобретение относится к защите от несанкционированного доступа к информации, хранимой на компьютерах, в автоматизированных системах обработки информации. Технический результат заключается в повышении защиты информации пользователя от несанкционированного доступа. Согласно изобретению система включает автоматизированные рабочие места пользователей (АРМ) и функциональные серверы системы, дополнительно введены системы обмена с внешними системами защиты информации, которые подключены соответственно к шинам управления и обмена данными АРМ пользователей и к шинам управления и обмена данными функциональных серверов, кроме того, в каждую систему защиты информации пользователя от несанкционированного доступа дополнительно введена база данных системы обмена с внешними системами защиты информации, соединенную с шиной управления и обмена данными соответствующего АРМ пользователя или функционального сервера. 1 ил.

Изобретение относится к вычислительной технике. Технический результат заключается в безопасной обработке данных. Процессор для обработки потока данных из множества источников мультимедийного контента для устройства отображения содержит блок защиты, который определяет, основаны ли выходные данные, подлежащие записи из видеокодека в буферную память, на входных данных из по меньшей мере одной защищенной ячейки, ассоциированной с защищенным диапазоном адресов буферной памяти, и в ответ на определение: i) разрешает запись выходных данных в одну или более защищенных ячеек буферной памяти, причем защищенные ячейки ассоциированы с защищенным диапазоном адресов буферной памяти; и ii) блокирует запись выходных данных в одну или более незащищенных ячеек буферной памяти, причем незащищенные ячейки ассоциированы с незащищенным диапазоном адресов буферной памяти. 5 н. и 29 з.п. ф-лы, 7 ил.

Изобретение относится к области защиты компьютерных устройств и данных конечных пользователей от несанкционированного доступа. Техническим результатом является повышение уровня защиты информации от неавторизованного доступа путем применения правил доступа к файлам при их передаче между компьютерами. Система применения правил доступа к файлам при их передаче между компьютерами содержит 1) средство определения правил доступа, установленное на локальном компьютере, предназначенное для: перехвата запросов пользователя удаленного компьютера на получение доступа к файлу локального компьютера; определения параметров по крайней мере следующих объектов: пользователя удаленного компьютера, файла, удаленного компьютера; при этом параметры удаленного компьютера включают по крайней мере следующие: показатели, определяющие для каждого из дисков, является ли диск зашифрованным; уровень безопасности, зависящий по крайней мере от одного из следующих параметров: дата последнего обновления антивирусных баз, наличие незакрытых уязвимостей на компьютере, дата последней антивирусной проверки, результаты последней антивирусной проверки, список установленных на компьютере приложений; тип шифрования дисков, который принимает одно из двух значений: шифрование файлов диска, шифрование диска целиком; определения правила доступа с помощью базы данных политик доступа на основе упомянутых определенных параметров, при этом упомянутое правило доступа является одним из следующих: запретить доступ, предоставить прозрачный доступ к зашифрованному файлу, предоставить зашифрованные файлы в виде шифротекста; передачи правила доступа средству применения правил доступа, установленному на удаленном компьютере; 2) упомянутое средство применения правил доступа, связанное со средством определения правил доступа и предназначенное для применения упомянутого определенного правила доступа к файлу локального компьютера в зависимости от установленных параметров объектов; 3) упомянутую базу данных политик доступа, содержащую правила доступа к файлам локального компьютера для удаленного компьютера в зависимости от параметров объектов. 2 н. и 21 з.п. ф-лы, 5 ил., 1 табл.
Изобретение относится к защите информации. Технический результат - обеспечение доверенной загрузки новых программных модулей. Способ безопасного расширения функций технических средств защиты информации (ТСЗИ), аппаратные составляющие которых представляют собой встраиваемые в защищаемые средства вычислительной техники (СВТ) автономные функционально достаточные устройства, состоящие из, по меньшей мере, энергонезависимой памяти (ЭНП), в которой хранят программные модули, соответствующие, по меньшей мере, одной функции из набора поддерживаемых ТСЗИ защитных функций, и контроллера, через который осуществляют доступ к ЭНП, путем доверенной загрузки новых программных модулей, под управлением которых обеспечивается требуемое расширение набора защитных функций, при этом новые программные модули хранят подписанными электронными подписями их поставщиков, полученными с помощью ключей подписи, во внешних по отношению к ЭНП ТСЗИ накопителях, в ЭНП ТСЗИ хранят базу ключей проверки подписей поставщиков новых программных модулей, и перед сеансом загрузки контролируют подлинность загружаемых программных модулей посредством процедуры проверки подписей. 3 з.п. ф-лы.

Настоящее изобретение относится к системам и способам обеспечения безопасности и, более конкретно, к системам и способам обеспечения безопасности, работающим независимо от операционной системы, но выполненным с поддержкой приложения безопасности, работающего на уровне операционной системы. Технический результат настоящего изобретения заключается в повышении уровня безопасности компьютерной системы путем обеспечения безопасности компьютерной системы на этапе до запуска операционной системы. Способ обеспечения безопасности компьютерной системы на этапе до запуска операционной системы включает: а) осуществление запуска UEFI из постоянного запоминающего устройства перед запуском операционной системы; б) запуск из UEFI агента безопасности, работающего независимо от операционной системы; в) осуществление посредством агента безопасности сканирования и последующего удаления или помещения на карантин вредоносного программного обеспечения; где сканирование на наличие вредоносного программного обеспечения проводится лишь среди объектов, относящихся к запуску операционной системы и связанных с приложением безопасности, установленным в операционной системе; и где для осуществления сканирования агентом безопасности используется регулярно обновляемая база данных определений вредоносного программного обеспечения, хранящаяся на уровне упомянутого UEFI; г) выявление посредством агента безопасности состояний, связанных с событиями, имевшими место до последнего завершения работы операционной системы, по меньшей мере, одного из следующих типов: определение неспособности приложением безопасности, установленным в операционной системе, выполнять свои функции; выявление изменения в компьютерной системе, влияющего на процесс запуска операционной системы; д) определение агентом безопасности, по меньшей мере, одного действия, соответствующего, по меньшей мере, одному из выявленных состояний указанных типов, где действия включают в себя, по меньшей мере, одно из: управление объектами, сохраненными в файловой системе компьютерной системы; осуществление взаимодействия с удаленными серверами; откат до более ранних версий приложений, установленных в операционную систему; отправка посредством агента безопасности запроса на выполнение после запуска операционной системы действия со стороны приложения безопасности, установленного в операционную систему; е) выполнение посредством агента безопасности упомянутого определенного в пункте д), по меньшей мере, одного действия, соответствующего, по меньшей мере, одному из выявленных состояний указанных типов. 8 з.п. ф-лы, 10 ил.

Изобретение относится к области вычислительной техники, а именно к области защиты от несанкционированного доступа к информации, создаваемой и хранимой в компьютерных системах. Техническим результатом является повышение эффективности контроля доступа к файлам на основе их автоматической разметки, за счет размещения учетных данных субъекта доступа в создаваемом файле. Система контроля доступа к файлам на основе автоматической разметки с размещением учетных данных субъекта доступа в создаваемом файле содержит решающий блок, блок автоматической разметки файлов, блок хранения правил доступа к файлам, блок формирования файла, блок хранения файла, причем первый вход решающего блока соединен с первым входом системы, с первым входом блока автоматической разметки файлов, второй выход - с первым выходом системы, третий выход блока автоматической разметки файлов соединен - с первым входом блока хранения правил доступа к файлам, второй вход которого соединен со вторым входом системы, третий вход - с первым выходом решающего блока, второй вход которого - с выходом блока хранения правил доступа к файлам, третий выход блока автоматической разметки файлов соединен со вторым выходом системы, первый выход - с первым входом блока формирования файла, второй вход которого - со вторым выходом блока автоматической разметки файлов, вход/выход блока формирования файла - со входом/выходом системы, первый выход блока формирования файла - с первым входом блока хранения файла, третий выход - со вторым входом блока хранения файла, выход которого - с третьим входом блока формирования файла, второй выход которого - с третьим входом блока автоматической разметки файлов, четвертый вход блока формирования файла - с четвертым входом системы. 2 ил., 4 табл.

Группа изобретений относится к области защиты данных, записанных в хранилище с долговременной памятью, и может быть использована для защиты доступности и конфиденциальности данных. Техническим результатом является повышение защищенности данных. В способе защиты доступности и конфиденциальности хранимых данных для каждого информационного блока из множества обратимых случайных преобразований выбирается случайным или псевдослучайным образом номер r одного кодирующего правила, которое затем применяется к кодовому блоку; полученное кодовое слово разбивается на t частей, к каждой из которых дописывается часть секрета, полученная по числу r с помощью подходящей схемы разделения секрета, после чего полученные части объединяются. 4 н. и 5 з.п. ф-лы, 20 ил.

Изобретение относится к устройству и способу сохранения набора данных в блоке управления (БУ) системы управления транспортного средства. Технический результат - выполнение в независимой мастерской ремонтных работ, включающих безопасное обновление данных системы управления транспортного средства. Устройство сохранения набора данных в БУ системы управления транспортного средства содержит соединенное с транспортным средством вычислительное средство, приспособленное выполнять прикладную программу доступа, содержащую информацию о конкретном транспортном средстве и информацию о конкретной операции обслуживания, при этом информация является зашифрованной, а устройство приспособлено дешифровать информацию о конкретном транспортном средстве и информацию о конкретной операции обслуживания, деблокировать БУ транспортного средства путем передачи БУ пароля от вычислительного средства, выполнять операцию обслуживания путем сохранения информации о конкретной операции обслуживания в БУ, блокировать БУ путем передачи БУ команды блокирования от вычислительного средства и разрушать прикладную программу, чтобы ее было невозможно использовать вновь. 2 н. и 12 з.п. ф-лы, 2 ил.

Изобретение относится к области защиты от компьютерных угроз, а именно способам обнаружения вредоносного кода в оперативной памяти. Технический результат настоящего изобретения заключается в повышении защиты вычислительного устройства. Способ использования модуля контроля приложений содержит этапы, на которых: обнаруживают по меньшей мере один недоверенный процесс, при этом процесс является недоверенным, если он запущен из недоверенного приложения; собирают данные о приложении, из которого запущен по меньшей мере один недоверенный процесс; перехватывают вызов по меньшей мере одной функции межпроцессного взаимодействия, осуществляемый недоверенным процессом; определяют признаки вызова по меньшей мере одной перехваченной функции межпроцессного взаимодействия; определяют необходимость анализа кода в адресном пространстве процесса, являющегося целью вызова функции межпроцессного взаимодействия, при помощи по меньшей мере одного эвристического правила, применение которого к собранным данным о приложении, а также к определенным на этапе ранее признакам вызова определяет упомянутую необходимость анализа кода, при этом под целью вызова функции межпроцессного взаимодействия понимается процесс, в отношении которого осуществляется вызов функции межпроцессного взаимодействия; осуществляют анализ кода в области памяти, принадлежащей процессу, являющемуся целью вызова функции межпроцессного взаимодействия, с целью обнаружения вредоносного кода, при этом результатом анализа является признание или непризнание упомянутого кода в области памяти вредоносным; определяют функционал обнаруженного вредоносного кода в области памяти, принадлежащей процессу, являющемуся целью вызова функции межпроцессного взаимодействия, при этом под функционалом кода понимают совокупность системных вызовов, которые могут быть осуществлены во время исполнения кода; формируют по меньшей мере одно правило контроля приложения модулем контроля приложений, в адресном пространстве которого находится код, который был признан вредоносным, на основании определенного на этапе ранее функционала упомянутого вредоносного кода; используют модуль контроля приложений согласно по меньшей мере одному сформированному на этапе ранее правилу контроля приложения. 4 з.п. ф-лы, 4 ил.

Изобретение относится к области электросвязи и предназначено для использования в технических средствах защиты с целью оперативного выявления компьютерных атак в доверенных маршрутах информационно-телекоммуникационной сети. Техническим результатом является повышение достоверности обнаружения компьютерных атак в маршрутах ИТКС. Устройство обнаружения компьютерных атак в маршрутах содержит счетчики, блоки дешифрации, блоки сравнения, центральный блок управления, блок управления, блок индикации и блоки памяти. Первый блок памяти снабжен входной шиной сообщений, а его информационный выход подключен к первым информационным входам первого, третьего, четвертого, пятого, шестого, седьмого и восьмого блоков дешифрации, управляющие выходы которых подключены к соответствующим управляющим входам блока управления, управляющие выходы которого подключены к блоку индикации и первому блоку памяти. Управляющие выходы счетчиков подключены к управляющим входам соответствующих блоков дешифрации. Информационные выходы четвертого и пятого блоков дешифрации подключены к первому блоку сравнения, информационный выход которого подключен к третьему блоку памяти. Информационный вход пятого блока памяти подключен к информационному выходу второго блока сравнения. Управляющий вход блока центрального управления передающим устройством подключен к информационному выходу пятого блока памяти. Причем управляющие входы третьего блока памяти, четвертого блока памяти и пятого блока памяти объединены и являются управляющим входом устройства. 6 ил.

Наверх