Способ обработки дейтаграмм сетевого трафика для скрытия корреспондирующих пар абонентов информационно-телекоммуникационных систем



Способ обработки дейтаграмм сетевого трафика для скрытия корреспондирующих пар абонентов информационно-телекоммуникационных систем
Способ обработки дейтаграмм сетевого трафика для скрытия корреспондирующих пар абонентов информационно-телекоммуникационных систем
Способ обработки дейтаграмм сетевого трафика для скрытия корреспондирующих пар абонентов информационно-телекоммуникационных систем
Способ обработки дейтаграмм сетевого трафика для скрытия корреспондирующих пар абонентов информационно-телекоммуникационных систем
Способ обработки дейтаграмм сетевого трафика для скрытия корреспондирующих пар абонентов информационно-телекоммуникационных систем

 


Владельцы патента RU 2586840:

Федеральное государственное бюджетное образовательное учреждение высшего профессионального образования "Санкт-Петербургский государственный торгово-экономический университет" (RU)

Изобретение относится к средствам защиты информации в компьютерных системах и сетях. Техническим результатом является повышение защищенности от несанкционированного доступа при обмене данными в сети. В способе формируют множество доверенных узлов на правах индивидуальных клиентов оператора связи, которое разбивают на r подмножеств, в списке адресов запоминают: состав подмножеств для каждой из корреспондирующих пар в направлении передачи, перечень разрешенных IP-адресов для каждого из доверенных узлов и абонентов корреспондирующих пар. На доверенных узлах генерируют трафик, после выделения в сформированной дейтаграмме адреса отправителя SA и получателя SB из списка адресов выбирают один из номеров доверенных узлов, выделенных для данной пары, один из разрешенных IP-адресов отправителя и один из разрешенных IP-адресов выбранного доверенного узла, определяют количество Т промежуточных доверенных узлов на маршруте передачи дейтаграммы, записывают в поле «IP-адрес источника» и «IP-адрес назначения» сетевой дейтаграммы выбранные IP-адреса отправителя и выбранного доверенного узла, записывают в поле «Опции» сетевой дейтаграммы количество промежуточных доверенных узлов на маршруте передачи дейтаграммы, после приема сетевой дейтаграммы на доверенном узле проверяют указанное значение Т в поле «Опции», если T=0, то из списка адресов выбирают один из разрешенных IP-адресов получателя и доверенного узла, записывают в поле «IP-адрес источника» и «IP-адрес назначения» сетевой дейтаграммы выбранные IP-адреса доверенного узла и получателя и передают по каналу связи сформированную дейтаграмму. 2 з.п. ф-лы, 4 ил.

 

Изобретение относится к области способов и устройств защиты информации в компьютерных системах и сетях и может быть использовано для повышения защищенности элементов территориально распределенной структуры макропредприятий, например, таких как крупные холдинги, производственные объединения, комбинаты, тресты, синдикаты, концерны, транснациональные корпорации и т.д., при обмене данными посредством сети связи общего пользования.

Распределенные системы характеризуются тем, что к ним применим такой вид атак, как «удаленные атаки», поскольку их компоненты используют открытые каналы передачи данных и нарушитель может не только проводить пассивное «прослушивание» передаваемой информации, но и модифицировать, задерживать, дублировать, удалять передаваемые сообщения, неправомочно использовать их реквизиты, т.е. осуществлять активное воздействие. [Шаньгин В.Ф. Защита компьютерной информации. Эффективные методы и средства. - М.: ДМК Пресс, 2010. - 544 с., стр. 50-62, Васильков А.В., Васильков А.А., Васильков И.А. Информационные системы и их безопасность. - М.: Форум, 2010. - 528 с, стр. 26].

Любой атаке предшествует стадия предварительного информирования (рекогносцировки), которая направлена на сбор информации, необходимой для выбора методов и средств дальнейшей реализации атаки. Одним из основных способов сбора информации является анализ сетевого трафика посредством перехвата передаваемых пакетов данных. Для этого нарушитель может использовать специальные программные анализаторы трафика, при помощи которых можно определить существующие информационные потоки, схему адресации узлов, типы используемых сетевых сервисов и др. [Сердюк В.А. Организация и технология защиты информации. Обнаружение и предотвращение информационных атак в автоматизированных системах предприятий. - М.: Гос. Ун-т - Высшая школа экономики, 2011. - 572 с., стр. 52-63].

Заявленное техническое решение расширяет арсенал средств и способов и устройств защиты информации в компьютерных системах и сетях этапе предварительного информирования (рекогносцировки) путем предотвращения (существенного затруднения) определения существующих информационных потоков между элементами распределенной системы, выявления ее структуры, что позволит повысить защищенность элементов от удаленных атак.

Известен способ организации локальной компьютерной сети и межсетевого экрана по патенту РФ №2214623, кл. G06F 15/163, 15/173, опубликованный 20.10.2003, заключающийся в том, что защита внутренней сети обеспечивается с помощью межсетевого экрана, представляющего собой комплекс аппаратных и программных средств, содержащий, по меньшей мере, два сетевых интерфейса для обмена двунаправленными потоками сетевых пакетов между сетевыми интерфейсами межсетевого экрана и осуществляющий фильтрацию транслируемых сетевых пакетов в соответствии с заданными правилами фильтрации. При этом межсетевой экран исключен из числа абонентов сети путем такой настройки программы управления межсетевого экрана, при которой эта программа использует для приема и передачи пакетов сетевые интерфейсы межсетевого экрана без назначения им логических адресов, скрывает информацию об их физических адресах, а задание правил фильтрации осуществляется с помощью отдельного интерфейса управления, не имеющего связи с сетевыми интерфейсами межсетевого экрана.

Однако способ имеет недостатки, заключающиеся в возможности посылки сетевых дейтаграмм с подложным адресом отправителя сетевой дейтаграммы, а также возможности беспрепятственного перехвата и модификации содержимого сетевых дейтаграмм.

Известен способ обработки дейтаграмм сетевого трафика для разграничения доступа к информационно-вычислительным ресурсам компьютерных сетей по патенту РФ №2314562, кл. G06F 21/22, опубликованный 10.01.2008 г., бюл. №1. Способ заключается в следующих действиях: для защиты вычислительных сетей используют шлюз-компьютер с межсетевым экраном, межсетевой экран проверяет сетевые дейтаграммы в соответствии с заданным оператором списком правил доступа в компьютерную сеть, записывает в дейтаграммах пометки, соответствующие правилам доступа, затем осуществляет прозрачную ретрансляцию корректных дейтаграмм, а на стороне получателя пропускает или блокирует сетевые дейтаграммы в соответствии с указанными внутри пометками.

Недостатком способа является низкая достоверность обнаружения подлога компьютерных адресов отправителя и получателя сетевых дейтаграмм, обусловленная выполнением соответствующих действий по обнаружению подмены только в локальной защищенной сети, при этом не учитывается возможность подмены во внешней сети и соответственно возможность несанкционированного проникновения в защищаемую информационно-вычислительную сеть.

Известен способ обработки дейтаграмм сетевого трафика для защиты информационно-вычислительных сетей (первый вариант) по патенту RU №2472217, МПК G06F 21/22, опубликованный 10.01.2013 г., бюл. №1. Способ заключается в следующем: для защиты вычислительных сетей используют шлюз-компьютер с межсетевым экраном, установленный на каналах связи защищаемой сети с другими сетями, формируют у пользователя криптографический ключ К и передают его на шлюз-компьютеры доверенных узлов, при обнаружении сетевой дейтаграммы выделяют адрес отправителя SA, адрес получателя SB, формируют маршрут передачи mj сетевой дейтаграммы Pi по внешней сети между защищаемыми компьютерными сетями в виде последовательности адресов доверенных узлов S1, S2, … SVj, затем записывают маршрут mj в поле «Опции» сетевой дейтаграммы. Формируют сетевую дейтаграмму с адресом получателя SB и адресом ближайшего к нему доверенного узла SVj в соответствии с маршрутом передачи mj сетевой дейтаграммы Pi. Шифруют сетевую дейтаграмму с использованием криптографического ключа К и повторяют действия, начиная с формирования сетевой дейтаграммы и ее шифрования до формирования сетевой дейтаграммы с адресом S1 первого доверенного узла и адресом отправителя SA. Передают по каналу связи внешней сети сформированную безопасную сетевую дейтаграмму D, которую принимают на следующем доверенном узле. Дешифруют сетевую дейтаграмму с использованием криптографического ключа К и записывают в память шлюз-компьютера значения поля «Опции» полученного пакета. Формируют новое значение поля «Опции» с учетом адреса очередного пройденного доверенного узла, которое записывают в поле «Опции» передаваемого пакета. Причем действия передачи, приема, дешифрования сетевой дейтаграммы, а также формирования и записи значений поля «Опции» повторяют на каждом доверенном узле маршрута mj. Значения, заданные в поле «Опции», сравнивают со значениями маршрута передачи безопасной сетевой дейтаграммы, определенными на узле получателя, и в случае несовпадения маршрута передачи принимают решение на блокирование сетевой дейтаграммы.

Наиболее близким по технической сущности к предлагаемому способу является способ обработки дейтаграмм сетевого трафика для защиты информационно-вычислительных сетей (второй вариант) по патенту RU №2472217, МПК G06F 21/22, опубликованный 10.01.2013 г., бюл. №1.

Способ заключается в следующих действиях:

используют шлюз-компьютер с межсетевым экраном, установленный на каналах связи защищаемой сети с другими сетями;

формируют у пользователя криптографический ключ К,

передают его на шлюз-компьютеры доверенных узлов,

формируют массив M=(m1, m2, … mj, … mM) для каждого доверенного узла маршрутов передачи сетевых дейтаграмм по внешней сети между защищенными компьютерными сетями в виде последовательности доверенных узлов на пути передачи сетевой дейтаграммы mj=(S1, S2, … Sr, … SVj), где Vj - номер последнего доверенного узла на mj, маршруте, на пути передачи сетевой дейтаграммы;

формируют список адресов S1, S2, S3 … доверенных узлов;

запоминают в нем сформированные маршруты для всех доверенных адресов получателей и отправителей;

выделяют в сформированной дейтаграмме адреса отправителя SA и получателя SB;

выбирают один из возможных маршрутов mj,

считывают из массива М значение первого доверенного узла на маршруте передачи сетевой дейтаграммы, соответствующие значениям адреса отправителя SA, адреса получателя SB и выбранному номеру маршрута j;

записывают в поле «Опции» сетевой дейтаграммы Pi адрес отправителя SA, адрес получателя SB и выбранный номер маршрута j;

формируют сетевую дейтаграмму с адресом первого доверенного узла получателя и адресом отправителя SA;

шифруют сетевую дейтаграмму с использованием сформированного криптографического ключа К;

передают по каналу связи внешней сети сформированную безопасную сетевую дейтаграмму D;

принимают безопасную сетевую дейтаграмму D на очередном доверенном узле;

дешифруют сетевую дейтаграмму с использованием криптографического ключа К записывают в память шлюз-компьютера значения поля «Опции» полученного пакета;

считывают из массива М значение следующего доверенного узла Sr на маршруте mj передачи сетевой дейтаграммы, соответствующего значениям адреса отправителя SA, адреса получателя SB и заданному номеру маршрута j, имеющимся в поле «Опции»;

формируют новое значение поля «Опции» с учетом адреса пройденного доверенного узла, которое записывают в поле «Опции» передаваемого пакета;

формируют безопасную сетевую дейтаграмму с адресом получателя Sr и адресом отправителя Sr-1;

повторяют действия, начиная с передачи, приема безопасной сетевой дейтаграммы и ее дешифрования с использованием криптографического ключа К до передачи по каналу связи сетевой дейтаграммы со сформированными адресами получателя SB и отправителя SVj;

значения, заданные в поле «Опции», сравнивают со значениями маршрута передачи безопасной сетевой дейтаграммы, определенными на узле получателя;

в случае несовпадения маршрута передачи принимают решение на блокирование сетевой дейтаграммы.

Недостатками вышеперечисленных способов являются:

высокая техническая сложность доверенных узлов (доверенные узлы выполняют как функции маршрутизации, так и криптографические функции),

высокая вычислительная нагрузка на доверенные узлы (производятся дешифрование и обработка каждой дейтаграммы на каждом доверенном узле по маршруту передачи),

высокая вычислительная нагрузка на оконечные узлы (при формировании сетевой дейтаграммы инкапсуляция и шифрование каждого пакета проводятся j раз, где j - количество доверенных узлов на маршруте передачи),

большая длина безопасной сетевой дейтаграммы (за счет включения j заголовков, где j - количество доверенных узлов на маршруте передачи), что увеличивает нагрузку на сеть,

узкая применимость вследствие наложения ограничений поля «Опции». [RFC 791 - Протокол IP (Internet Protocol). Электронный ресурс. URL: http://rfc2.ru/791.rfc. Дата обращения 01.10.2014 г.],

высокая вероятность компрометации ключа (один и тот же ключ К передается на все доверенные узлы).

Техническим результатом заявленного способа является устранение недостатков прототипа с сохранением его достоинств, а также расширение функциональных возможностей за счет скрытия корреспондирующих пар абонентов, обеспечивающего предотвращение (существенное затруднение) определения существующих информационных потоков между элементами распределенной системы, выявление ее структуры, что позволит повысить их защищенность от удаленных атак.

В заявленном изобретении поставленная цель достигается тем, что в известном способе для защиты вычислительных сетей используют шлюз-компьютер с межсетевым экраном, установленный на каналах связи защищаемой сети с другими сетями, формируют список адресов S1, S2, S3 … доверенных узлов, выделяют в сформированной дейтаграмме адреса отправителя SA и получателя SB, формируют сетевую дейтаграмму с адресом первого доверенного узла получателя и адресом отправителя SA, передают по каналу связи внешней сети сформированную безопасную сетевую дейтаграмму D, принимают безопасную сетевую дейтаграмму D на очередном доверенном узле, записывают в память шлюз-компьютера значения поля «Опции» полученной дейтаграммы, формируют новое значение поля «Опции», формируют безопасную сетевую дейтаграмму, дополнительно формируют множество доверенных узлов {М} на правах индивидуальных клиентов оператора связи, по случайному закону разбивают множество {M} на r подмножеств {Mr′}, запоминают состав полученных подмножеств, по случайному закону образом выбирают по одному из них для каждого из направлений передачи, в списке адресов запоминают состав подмножеств {Mr′} (условные номера доверенных узлов) для каждой из корреспондирующих пар в заданном направлении передачи, перечень разрешенных IP-адресов для каждого из доверенных узлов и абонентов корреспондирующих пар, на доверенных узлах генерируют трафик, характерный для оконечных пользователей данного сегмента сети, после выделения в сформированной дейтаграмме адреса отправителя SA и получателя SB из списка адресов по случайному закону выбирают один из номеров доверенных узлов, выделенных для данной корреспондирующей пары в заданном направлении передачи, один из разрешенных IP-адресов отправителя и один из разрешенных IP-адресов выбранного доверенного узла, по случайному закону определяют количество Т промежуточных доверенных узлов на маршруте передачи дейтаграммы, записывают в поле «IP-адрес источника» и «IP-адрес назначения» сетевой дейтаграммы выбранные IP-адреса отправителя SA и выбранного доверенного узла, записывают в поле «Опции» сетевой дейтаграммы количество промежуточных доверенных узлов на маршруте передачи дейтаграммы, после приема сетевой дейтаграммы на доверенном узле проверяют значение количества Т промежуточных доверенных узлов на маршруте передачи дейтаграммы в поле «Опции», если Т=0, то из списка адресов по случайному закону выбирают один из разрешенных IP-адресов получателя и доверенного узла, записывают в поле «IP-адрес источника» и «IP-адрес назначения» сетевой дейтаграммы выбранные IP-адреса доверенного узла и получателя SB и передают по каналу связи сформированную дейтаграмму, если T≠0, то уменьшают значение T на 1, из списка адресов по случайному закону выбирают один из номеров доверенных узлов этого же подмножества, один из разрешенных IP-адресов выбранного доверенного узла (для заполнения поля «IP-адрес назначения» сетевой дейтаграммы) и один из своих разрешенных IP-адресов (для заполнения поля «IP-адрес источника» сетевой дейтаграммы), формируют новое значение поля «Опции» с учетом вычисленного количества Т промежуточных доверенных узлов на маршруте передачи дейтаграммы, формируют безопасную сетевую дейтаграмму с выбранными IP-адресами доверенных узлов, повторяют действия, начиная с передачи, приема безопасной сетевой дейтаграммы, проверки значения Т, выбора доверенных узлов, формирования новых IP-адресов до тех пор, пока значение Т не станет равным 0. Новая совокупность существенных признаков позволяет достичь указанного технического результата за счет отсутствия в заголовке пакетов одновременно адреса отправителя и получателя и случайной передачей пакетов между доверенными узлами информационно-телекоммуникационной системы, что позволяет предупредить (существенно затруднить) определение существующих информационных потоков между элементами распределенной системы, выявление ее структуры.

Заявленный способ поясняется чертежами, на которых:

на фиг. 1 - схема, поясняющая построение рассматриваемой сети;

на фиг. 2 - блок-схема алгоритма обработки дейтаграмм сетевого трафика для скрытия корреспондирующих пар абонентов информационно-телекоммуникационных систем;

на фиг. 3 - вариант списка адресов для корреспондирующей пары SA-SB;

на фиг. 4 - формат заголовка IP-пакета (версии IPν4).

Реализация заявленного способа поясняется следующим образом.

В качестве сети передачи данных общего пользования (фиг. 1) рассматривается совокупность узлов и каналов электросвязи, специально созданная для организации связей между определенными точками с целью обеспечения передачи данных между ними [Правила присоединения сетей электросвязи и их взаимодействия (утв. постановлением Правительства РФ от 28 марта 2005 г. N 161). Электронный ресурс. URL: http://base.garant.ru/188008. Дата обращения 02.10.2014 г.].

Под узлом связи понимается составная часть сетей связи, предназначенная для объединения и распределения потоков сообщений [Большой энциклопедический словарь / Гл. ред. А.М. Прохоров. Изд. 2-е, перераб. и доп. М.; Изд-во «Большая Российская Энциклопедия, Научное издательство, 2000. - 1456 с.].

Для реализации предлагаемого способа формируют множество доверенных узлов {М}, выступающих в виде индивидуальных клиентов оператора связи (блок 2, фиг. 2), на которых генерируют трафик, характерный для оконечных пользователей данного сегмента сети. Количество оконечных пользователей значительно превышает количество узлов электросвязи, что уменьшает вероятность нахождения доверенного узла злоумышленником [Вентцель Е.С. Теория вероятностей. - М.: КНОРУС, 2010 г. - 664 с., стр. 27-28]:

где Рнду - вероятность нахождения доверенного узла злоумышленником,

Nду - количество доверенных узлов,

N - общее количество оконечных пользователей в сети:

где Noп - количество оконечных пользователей в сети.

В целях возможности имитации работы оконечных пользователей сети предварительно собирают среднестатистические данные о типе, объеме и суточной интенсивности трафика пользователей сегмента сети, в котором предполагается функционирование доверенного узла.

Далее множество доверенных узлов {М} разбивают на r непересекающихся подмножеств {Mr} (бл. 3 фиг. 2) любым способом, причем

где Nкп - количество корреспондирующих пар абонентов, так как для каждого направления передачи (от абонента SA к абоненту SB (SA-SB) и от абонента SB к абоненту SA (SB-SA)) по случайному закону выбирается свое подмножество доверенных узлов.

Разбиение множества - подразделение множества {М} на части (подмножества), при котором каждый элемент попадает в какую-то из частей и никакие две части не имеют общих элементов [Шоке Г.Н. Геометрия. - М.: «Мир», 1970 г. - 242 с., стр. 232].

При этом число таких разбиений определяется следующим отношением (числа Стирлинга второго рода):

где S(n, m) - число разбиений множества из n элементов на m непересекающихся подмножеств [Сигал И.Х., Иванова А.П. Введение в дискретное программирование: модели и вычислительные алгоритмы. - М.: ФИЗМАТЛИТ, 2003. - 240 с., стр. 37]. Количество элементов при таком разбиении в полученных подмножествах может быть разным.

Число N(Mk(А)) всех k-элементных подмножеств множества А из n элементов определяется следующим отношением [Семенов А.С. Четыре лекции по комбинаторике: методические указания. - Ульяновск: УлГТУ, 2005. - 20 с., стр. 10]:

Количество элементов при таком разбиении во всех полученных подмножествах одинаково.

Запоминают состав полученных подмножеств, по случайному закону выбирают одно из них (блоки 3, 4 фиг. 2) для каждого из направлений передачи (от абонента SA к абоненту SB (SA-SB) и от абонента SB к абоненту SA (SB-SA)).

На фиг. 1 показана корреспондирующая пара абонентов SA, SB. Выбранное ей подмножество доверенных узлов в направлении передачи SA-SB выделено серым цветом. Это доверенные узлы M1, M3, М9, М12. Выбранное подмножество доверенных узлов в направлении передачи SB-SA выделено черным цветом. Это доверенные узлы М4, М6, М7, М10.

Каждому абоненту корреспондирующих пар и доверенным узлам назначается i IP-адресов.

Таким образом, формируют список адресов (фиг. 3), в котором для каждой из корреспондирующих пар запоминают:

- состав случайно выбранного подмножества (условные номера доверенных узлов) для каждого направления передачи,

- перечень разрешенных IP-адресов для абонентов корреспондирующих пар и доверенных узлов.

При передаче дейтаграммы от абонента SA корреспондирующей пары к абоненту SB на шлюз-компьютере, установленном на канале связи защищаемой сети с другими сетями, выделяют адрес отправителя SA и адрес получателя SB (блок 7 фиг. 2) сетевой дейтаграммы Pi, где i=1, 2, 3, …

При передаче пакетов по сети промежуточные маршрутизаторы осуществляют их маршрутизацию по адресной информации (фиг. 4), имеющейся в заголовке пакета [правила представления заголовка пакета определяется ГОСТ Р ИСО/МЭК 7498-1-99. «Информационная технология. Взаимосвязь открытых систем. Базовая эталонная модель. Часть 1. Базовая модель», стр. 13].

Из списка адресов по случайному закону выбирают один из номеров доверенных узлов, выделенных для данной корреспондирующей пары в данном направлении передачи, один из разрешенных IP-адресов отправителя и один из разрешенных IP-адресов выбранного доверенного узла. Записывают в поле «IP-адрес источника» и «IP-адрес назначения» сетевой дейтаграммы выбранные IP-адреса отправителя SA и выбранного доверенного узла (бл. 8, 10 фиг. 2).

По случайному закону определяют количество Т промежуточных доверенных узлов на маршруте передачи дейтаграммы. Причем значение Т не должно превышать количества элементов в подмножестве, закрепленном за данной корреспондирующей парой. Записывают данное значение в поле «Опции» сетевой дейтаграммы (бл. 9, 10 фиг. 2).

Поле «Опции» является необязательным и имеет переменную длину (фиг. 4).

Поддержка опций должна реализоваться во всех модулях IP (узлах и маршрутизаторах) [RFC 791, Internet Protocol, 1981, сентябрь, стр. 14-22].

Передают по каналу связи внешней сети сформированную сетевую дейтаграмму D (бл. 12 фиг. 2), принимают сетевую дейтаграмму D на очередном доверенном узле (бл. 13 фиг. 2).

Записывают в память значения поля «Опции» полученной дейтаграммы. Проверяют значение количества T промежуточных доверенных узлов на маршруте передачи дейтаграммы, (бл. 14, 15 фиг. 2).

Если значение Т равно 0, то из списка адресов по случайному закону выбирают один из разрешенных IP-адресов доверенного узла и получателя, которые записывают в поле «IP-адрес источника» и «IP-адрес назначения» SB (бл. 16, 17 фиг. 2) и передают по каналу связи сформированную дейтаграмму.

Если значение Т не равно 0, то уменьшают его на единицу. Полученное значение записывают в поле «Опции» формируемой сетевой дейтаграммы.

Далее из списка адресов по случайному закону выбирают один из номеров доверенных узлов этого же подмножества, один из разрешенных IP-адресов выбранного доверенного узла (для заполнения поля «IP-адрес назначения» сетевой дейтаграммы) и один из своих разрешенных IP-адресов (для заполнения поля «IP-адрес источника» сетевой дейтаграммы). Формируют сетевую дейтаграмму с выбранными ZP-адресами доверенных узлов.

Повторяют действия, начиная с передачи, приема сетевой дейтаграммы, проверки значения T, выбора доверенных узлов, формирования новых IP-адресов до тех пор, пока значение T не станет равным 0.

Таким образом, за счет отсутствия в заголовке пакетов одновременно адреса отправителя и получателя и случайной передачи пакетов между доверенными узлами обеспечивается предотвращение (существенное затруднение) определения существующих информационных потоков между элементами распределенной системы, выявления ее структуры, что позволит повысить их защищенность от удаленных атак. Технический результат достигнут.

1. Способ обработки дейтаграмм сетевого трафика для скрытия корреспондирующих пар абонентов информационно-телекоммуникационных систем, заключающийся в том, что используют шлюз-компьютер с межсетевым экраном, установленный на каналах связи защищаемой сети с другими сетями, формируют список адресов S1, S2, S3 … доверенных узлов, выделяют в сформированной дейтаграмме адреса отправителя SA и получателя SB, формируют сетевую дейтаграмму с адресом первого доверенного узла получателя и адресом отправителя SA, передают по каналу связи внешней сети сформированную безопасную сетевую дейтаграмму D, принимают безопасную сетевую дейтаграмму D на очередном доверенном узле, записывают в память шлюз-компьютера значения поля «Опции» полученной дейтаграммы, формируют новое значение поля «Опции», формируют безопасную сетевую дейтаграмму, отличающийся тем, что формируют множество доверенных узлов {М} на правах индивидуальных клиентов оператора связи, по случайному закону разбивают множество {М} на r подмножеств {Mr′}, запоминают состав полученных подмножеств, по случайному закону выбирают по одному из них для каждого из направлений передачи, в списке адресов запоминают состав подмножеств {Mr′} (условные номера доверенных узлов) для каждой из корреспондирующих пар в заданном направлении передачи, перечень разрешенных IP-адресов для каждого из доверенных узлов и абонентов корреспондирующих пар, на доверенных узлах генерируют трафик, характерный для оконечных пользователей данного сегмента сети, после выделения в сформированной дейтаграмме адреса отправителя SA и получателя SB из списка адресов по случайному закону выбирают один из номеров доверенных узлов, выделенных для данной корреспондирующей пары в заданном направлении передачи, один из разрешенных IP-адресов отправителя и один из разрешенных IP-адресов выбранного доверенного узла, по случайному закону определяют количество Т промежуточных доверенных узлов на маршруте передачи дейтаграммы, записывают в поле «IP-адрес источника» и «IP-адрес назначения» сетевой дейтаграммы выбранные IP-адреса отправителя SA и выбранного доверенного узла, записывают в поле «Опции» сетевой дейтаграммы количество промежуточных доверенных узлов на
маршруте передачи дейтаграммы, после приема сетевой дейтаграммы на доверенном узле проверяют значение количества Т промежуточных доверенных узлов на маршруте передачи дейтаграммы в поле «Опции», если T=0, то из списка адресов по случайному закону выбирают один из разрешенных IP-адресов получателя и доверенного узла, записывают в поле «IP-адрес источника» и «IP-адрес назначения» сетевой дейтаграммы выбранные IP-адреса доверенного узла и получателя SB и передают по каналу связи сформированную дейтаграмму, если T≠0, то уменьшают значение T на 1, из списка адресов по случайному закону выбирают один из номеров доверенных узлов этого же подмножества, один из разрешенных IP-адресов выбранного доверенного узла (для заполнения поля «IP-адрес назначения» сетевой дейтаграммы) и один из своих разрешенных IP-адресов (для заполнения поля «IP-адрес источника» сетевой дейтаграммы), формируют новое значение поля «Опции» с учетом вычисленного количества Т промежуточных доверенных узлов на маршруте передачи дейтаграммы, формируют безопасную сетевую дейтаграмму с выбранными IP-адресами доверенных узлов, повторяют действия, начиная с передачи, приема безопасной сетевой дейтаграммы, проверки значения Т, выбора доверенных узлов, формирования новых IP-адресов до тех пор, пока значение Т не станет равным 0.

2. Способ по п.1, отличающийся тем, что множество {М} разбивается на r подмножеств {Mr′} по случайному закону через интервалы времени ΔTi.

3. Способ по п.1, отличающийся тем, что списки разрешенных адресов для доверенных узлов и абонентов корреспондирующей пары изменяются через интервалы времени ΔTk.



 

Похожие патенты:

Изобретение относится к области обеспечения безопасности программного обеспечения, а именно к способам выполнения обращения к процедурам загрузочного драйвера. Технический результат заключается в обеспечении доступа к исходным процедурам загрузочных драйверов в случае перехвата процедур руткитами путем выполнения обращения к процедурам по крайней мере одного загрузочного драйвера по ранее сохраненным адресам.

Изобретение относится к принятию контрмер против атак по сторонним каналам. Технический результат - эффективное обеспечение защиты против атак по сторонним каналам за счет использования функции сопоставления по месту.

Изобретение относится к области анализа и верификации целевой программы с использованием средства анализа/верификации программы. Техническим результатом является эффективная верификация программ на основе выбора для использования одного из нескольких подходящих средств верификации программ.

Изобретение относится к области шифрования потоков данных. Технический результат - повышение быстродействия процессов криптопреобразования данных.

Группа изобретений относится к области защиты данных, записанных в хранилище с долговременной памятью, и может быть использована для защиты доступности и конфиденциальности данных.

Изобретение относится к способу конфигурирования ветроэнергетической установки, к ветроэнергетической установке, которая подготовлена для такого конфигурирования и к системе ветроэнергетической установки с ветроэнергетической установкой и банком данных управления.

Изобретение относится к области сканирования файлов на вирусы. Техническим результатом является эффективное использование множества антивирусных ядер с целью определения результатов сканирования файла.

Изобретение относится к информационной безопасности. Технический результат заключается в повышении безопасности компьютерной системы при выполнении файлов сценария интерпретаторами.

Изобретение относится к способам защиты процесса работы с электронными деньгами. Технический результат заключается в обеспечении безопасности процесса работы с электронными деньгами.

Изобретение относится к области защиты информации от несанкционированного изменения содержания фонограммы, а именно к технологии защиты фонограмм от фальсификаций и восстановления их первоначального содержания.

Изобретение относится к вычислительной технике. Технический результат заключается в улучшении характеристики маскирования перехода к концу срока службы электронного устройства при поддержании уровня безопасности. Способ маскирования перехода к концу срока службы электронного устройства, в котором перед исполнением текущей команды микропроцессором проверяют значение переменной состояния конца срока службы, загруженной в оперативное запоминающее устройство из энергонезависимого запоминающего устройства; в случае пустого значения исполняют операцию перехода к концу срока службы; в случае непустого значения продолжают инициализацию текущей команды; после обнаружения атаки вторжения записывают упомянутую переменную состояния конца срока службы в единственное оперативное запоминающее устройство и продолжают инициализацию текущей команды; выполняют операцию только удаления переменной состояния конца срока службы в энергонезависимом запоминающем устройстве с отсрочкой таким образом, что операцию выполняют вместо следующей операции обновления, причем операция только удаления заключается в установке пустого значения для переменной состояния конца срока службы, причем операция только удаления является фазой удаления, за которой не следует фаза записи. 3 н. и 6 з.п. ф-лы, 7 ил.

Изобретение относится к системам и способам администрирования и управления лицензиями на программное обеспечение устройств, а более конкретно к системам и способам автоматического определения порядка применения политик безопасности к устройствам в сети исходя из доступного числа лицензий. Технический результат настоящего изобретения заключается в повышении защищенности устройств компьютерной сети с ограниченным набором лицензий на программное обеспечение. Способ применения политик безопасности к устройствам содержит этапы, на которых: а. выбирают критерии для устройств, которые, по меньшей мере, характеризуют местоположение устройств, пользователей устройств, программное обеспечение устройств и аппаратную часть устройств, где критерии выбирают в зависимости от целей сортировки устройств; б. получают значения критериев для каждого из устройств; в. вычисляют значение коэффициента устройства на основании полученных значений критериев для сортировки устройств, где коэффициент устройства числовое значение, вычисленное из полученных значений критериев для устройств; г. определяют приоритет применения политики безопасности к устройству сортировкой устройств в соответствии с определенным значением коэффициента устройства; д. получают политику безопасности для каждого из устройств и доступные лицензии на программное обеспечение, которое используют для применения на устройстве политики безопасности; е. определяют набор функционала программного обеспечения, способный обеспечить требования полученной политики безопасности; ж. применяют полученную политику безопасности к устройству на основании приоритета определенного в пункте г., программным обеспечением для которого получены доступные лицензии, где выбирают ту лицензию на программное обеспечение для применения полученных политик безопасности из полученных доступных лицензий, которая позволяет использовать набор функционала программного обеспечения, способный применить полученную политику безопасности к устройству, при этом при недоступности лицензии, позволяющей применить политику полностью, выбирают такую из доступных лицензий, которая разрешает использование того объема функционала, который позволит применить полученную политику максимально полно. 7 з.п. ф-лы, 3 ил.

Изобретение относится к системам проведения онлайн-транзакций. Технический результат заключается в обеспечении безопасности проведения онлайн-транзакций. Реализуемая компьютером система содержит средство управления, предназначенное для определения начало проведения онлайн-транзакции, производимой с помощью приложения, используемого для проведения онлайн-транзакции, и связано со средством для защищенного ввода данных, с защищенной средой, со средством безопасной передачи данных и со средством оценки рисков, предназначенным для оценки рисков онлайн-транзакции и передачи информации об оценки рисков средству управления. 4 ил., 1 табл.

Изобретение относится к области управления приложениями, а именно к системам и способам контроля приложений. Технический результат настоящего изобретения заключается в повышении защиты вычислительного устройства. Способ формирования правила контроля приложений содержит этапы, на которых: a. обнаруживают неизвестное программное обеспечение, присутствующее на вычислительном устройстве; b. категоризируют по меньшей мере одно неизвестное программное обеспечение путем определения действий, совершаемых программным обеспечением в рамках своего функционирования; c. собирают информацию о присутствующем на вычислительном устройстве программном обеспечении для оценки пользователя вычислительного устройства; при этом оценка пользователя вычислительного устройства представляет собой численную оценку уровня компьютерной грамотности пользователя, чем больше которая, тем с меньшей вероятностью пользователь станет жертвой вредоносных приложений; d. производят оценку пользователя вычислительного устройства на основании собранной на этапе ранее информации о присутствующем на вычислительном устройстве программном обеспечении; при этом для осуществления оценки используют правила, каждое из которых ставит собранной на этапе ранее информации в соответствие число, на которое изменяется оценка пользователя вычислительного устройства; e. формируют правила контроля модулем контроля приложений по крайней мере одного неизвестного программного обеспечения путем сопоставления оценки пользователя вычислительного устройства и результатов проведенной категоризации неизвестного программного обеспечения; f. используют модуль контроля приложений согласно по меньшей мере одному сформированному на этапе ранее правилу контроля модулем контроля приложений неизвестного программного обеспечения. 3 ил., 3 табл.

Изобретение относится к области защиты от компьютерных угроз. Технический результат изобретения заключается в повышении безопасности вычислительного устройства. Способ обнаружения вредоносных объектов на вычислительном устройстве содержит этапы, на которых: а) получают информацию о по меньшей мере одном объекте на вычислительном устройстве, содержащую в том числе контрольную сумму объекта, при помощи средства обнаружения подозрительных объектов; б) анализируют упомянутую информацию об объекте при помощи средства обнаружения подозрительных объектов, при этом на основании набора эвристических правил, используемых средством обнаружения подозрительных объектов, определяют, является ли анализируемый объект подозрительным или нет; в) собирают при помощи средства обнаружения подозрительных объектов информацию об объекте, если он был признан подозрительным на этапе ранее, при этом упомянутая информация включает по меньшей мере журнал вызовов API-функций, время появления объекта на вычислительном устройстве, и передают собранную информацию о подозрительном объекте средству анализа объектов; г) производят анализ полученной от средства обнаружения подозрительных объектов информации об объекте средством анализа объектов, при этом на основании набора эвристических правил, используемых средством анализа объектов, определяют, является ли подозрительный объект потенциально вредоносным или нет, и посылают запрос на передачу потенциально вредоносного объекта; при этом признание подозрительного объекта потенциально вредоносным в соответствии с эвристическими правилами осуществляется путем сопоставления информации об анализируемом объекте и информации об объектах, хранящейся в базе данных вредоносных объектов и базе данных безопасных объектов; при этом набор эвристических правил, которые используются для упомянутого анализа отличается от набора эвристических правил, используемых средством обнаружения подозрительных объектов; д) получают запрос со стороны средства анализа объектов на передачу потенциально вредоносного объекта при помощи средства обнаружения подозрительных объектов; е) определяют при помощи средства соблюдения политик безопасности возможность передачи потенциально вредоносного объекта средству анализа объектов; при этом, если передача потенциально вредоносного объекта запрещена в соответствии с используемой средством соблюдения политик безопасности политики безопасности, средство соблюдения политик безопасности запрещает передачу потенциально вредоносного объекта средству анализа объектов, в противном случае передача разрешена; ж) передают при помощи средства обнаружения подозрительных объектов потенциально вредоносный объект для анализа средству анализа объектов, если передача была разрешена средством соблюдения политик безопасности на этапе ранее; з) анализируют полученный потенциально вредоносный объект при помощи средства анализа объектов, при этом выясняют, превосходит ли степень сходства потенциально вредоносного объекта с каким-либо объектом из базы данных вредоносных объектов заранее установленный порог, и если степень сходства потенциально вредоносного объекта с каким-либо объектом из базы данных вредоносных объектов превосходит заранее установленный порог, то признают упомянутый объект вредоносным. 2 н.п. ф-лы, 3 ил.

Изобретение относится к области защиты от компьютерных угроз, а именно к системам и способам оценки надежности правила категоризации. Технический результат настоящего изобретения заключается в автоматизации анализа надежности правила категоризации на основании сравнения комбинации степеней надежности правила категоризации с установленным числовым порогом. Способ признания правила категоризации надежным содержит этапы, на которых: а) создают при помощи средства создания правила категоризации по меньшей мере одно правило категоризации, которое используется для обучения по меньшей мере одного алгоритма интеллектуального анализа данных; при этом для создания правил категоризации используются файлы из базы данных для обучения; при этом правило категоризации позволяет определить принадлежность файла, к которому оно применяется, к одной из определенных в рамках правила категорий файлов; б) фильтруют при помощи средства обучения алгоритмов по меньшей мере одно созданное на этапе ранее правило категоризации, которое используется для обучения по меньшей мере одного алгоритма интеллектуального анализа данных; при этом результатом фильтрации является выделение набора правил категоризации, каждое из которых разбивает множество файлов для обучения на подмножества файлов, соответствующие определенным в рамках правила категориям файлов, таким образом, что хотя бы одно такое подмножество, соответствующее категории файлов, представляет собой однородное множество файлов; при этом однородное множество файлов содержит только похожие файлы; в) обучают при помощи средства обучения алгоритмов по меньшей мере один алгоритм интеллектуального анализа данных для последующего определения степени надежности правила категоризации с использованием выделенного на этапе ранее набора правил категоризации и множества файлов для обучения, в состав которого входит по меньшей мере одно множество похожих файлов; г) создают при помощи средства создания правила категоризации по меньшей мере одно правило категоризации; д) собирают при помощи средства сбора статистики статистку использования по меньшей мере одного созданного правила категоризации; при этом статистика использования правила категоризации представляет собой информацию о множестве файлов, принадлежащих к каждой из категорий, которые определены в рамках упомянутого правила категоризации; е) определяют при помощи средства определения надежности по меньшей мере одну степень надежности правила категоризации на основании статистики использования правила категоризации с использованием одного из алгоритмов интеллектуального анализа данных; ж) признают при помощи средства определения надежности правило категоризации надежным, если комбинация степеней надежности правила, определенных на этапе г), превышает установленный числовой порог. 2 н. и 10 з.п. ф-лы, 5 ил.

Изобретение относится к устройству и способу сохранения набора данных в блоке управления (БУ) системы управления транспортного средства. Технический результат - выполнение в независимой мастерской ремонтных работ, включающих безопасное обновление данных системы управления транспортного средства. Устройство сохранения набора данных в БУ системы управления транспортного средства содержит соединенное с транспортным средством вычислительное средство, приспособленное выполнять прикладную программу доступа, содержащую информацию о конкретном транспортном средстве и информацию о конкретной операции обслуживания, при этом информация является зашифрованной, а устройство приспособлено дешифровать информацию о конкретном транспортном средстве и информацию о конкретной операции обслуживания, деблокировать БУ транспортного средства путем передачи БУ пароля от вычислительного средства, выполнять операцию обслуживания путем сохранения информации о конкретной операции обслуживания в БУ, блокировать БУ путем передачи БУ команды блокирования от вычислительного средства и разрушать прикладную программу, чтобы ее было невозможно использовать вновь. 2 н. и 12 з.п. ф-лы, 2 ил.

Изобретение относится к информационной безопасности. Технический результат заключается в снижении нагрузки на вычислительные ресурсы при определении категории сетевого ресурса. Способ расчета интервала повторного определения категорий содержимого сетевого ресурса, в котором а) анализируют содержимое сетевого ресурса, при этом анализируют содержимое отдельных страниц упомянутого сетевого ресурса; ссылки между отдельными страницами упомянутого сетевого ресурса; ссылки на другие сетевые ресурсы; б) определяют на основании результатов анализа по меньшей мере две категории содержимого упомянутого сетевого ресурса, при этом первая категория определяется как безопасная или небезопасная, вторая категория определяется как нежелательная для просмотра пользователями или нейтральная по содержимому; в) выполняют этапы "а" и "б" по меньшей мере еще один раз; г) на основании категорий, определенных на этапах "а", "б" и "в", вычисляют вероятность изменения по меньшей мере одной категории содержимого упомянутого сетевого ресурса; д) на основании вычисленной вероятности изменения категорий содержимого рассчитывают интервал повторного определения категорий содержимого упомянутого сетевого ресурса. 2 н. и 2 з.п. ф-лы, 3 ил.

Изобретение относится к области систем защиты данных. Техническим результатом является повышение эффективности взаимодействия между множеством систем защиты данных. Раскрыта система для обеспечения взаимодействия между множеством систем для защиты данных. Система включает в себя онтологию, сконфигурированную с возможностью хранения определений понятий, относящихся к элементам интерфейса, по меньшей мере, двух различных систем защиты данных, включающих в себя первую систему защиты данных и вторую систему защиты данных; и генератор отображения, сконфигурированный с возможностью генерирования отображения между, по меньшей мере, одним элементом интерфейса первой системы защиты данных и, по меньшей мере, одним элементом интерфейса второй системы защиты данных на основании онтологии. Система содержит преобразователь сообщения, сконфигурированный с возможностью приема сообщения, сгенерированного с помощью первой системы защиты данных, преобразования сообщения на основании отображения для получения преобразованного сообщения и передачи преобразованного сообщения во вторую систему защиты данных. 3 н. и 11 з.п. ф-лы, 6 ил.

Изобретение относится к технологиям аутентификации на основе биологических характеристик. Техническим результатом является снижение сложности клиентского устройства, за счет реализации выделения характерных признаков биометрического изображения на облачном сервере. Предложен способ биометрической аутентификации. Способ включает в себя этап, на котором принимают облачным сервером подлежащее регистрации биометрическое изображение, идентификатор (ID) клиентского устройства и первый пользовательский ID, переданные от клиентского устройства. Далее, посредством облачного сервера, осуществляют выделение характерных признаков на подлежащем регистрации биометрическом изображении для получения биометрического шаблона. Сохраняют облачным сервером взаимосвязь, ассоциированную с биометрическим шаблоном ID клиентского устройства и первым пользовательским ID для завершения регистрации пользователя. 5 н. и 6 з.п. ф-лы, 18 ил.
Наверх