Способ защиты информационно-вычислительных сетей от компьютерных атак

Авторы патента:

Сысоев Павел Анатольевич (RU)

Бухарин Владимир Владимирович (RU)

Карайчев Сергей Юрьевич (RU)

Казачкин Антон Владимирович (RU)

Максаков Сергей Анатольевич (RU)

G06F12/14 - защита от обращений к памяти посторонних пользователей

Владельцы патента RU 2622788:

Федеральное государственное казенное военное образовательное учреждение высшего образования "Академия Федеральной службы охраны Российской Федерации" (Академия ФСО России) (RU)

Изобретение относится к электросвязи и может быть использовано в системах защиты от компьютерных атак. Техническим результатом от использования изобретения является повышение защищенности ИВС от компьютерных атак за счет определения маршрутов передачи пакетов сообщений, на которых имеются узлы, подверженные компьютерным атакам, и, соответственно, исключение повторного их использования, а также при увеличении количества узлов сети связи уменьшение времени на обнаружение компьютерной атаки. Способ заключается в следующем: задают исходные значения поля данных T_исх для имеющихся маршрутов передачи пакетов сообщений, затем передают пакеты сообщений по всем маршрутам между доверенными получателями и отправителями и запоминают измеренные значения эталонных параметров значений поля данных T_эт, затем после выделения и запоминания из заголовка принятого пакета значения полей данных: T, D и I, если при сравнении эталонные значения полей данных не совпали со значениями полей данных из полученного пакета, передают от получателя к отправителю пакет уведомления об установлении факта наличия атаки, в этом случае для передачи очередного пакета сообщений между данной парой доверенных отправителя и получателя задают новый маршрут, и повторно выделяют, запоминают и сравнивают значения полей данных: T, D и I принятого пакета с эталонными значениями, в случае совпадения значений полей данных пакета устанавливают факт отсутствия атаки, после чего формируют массив {А} и записывают в него все маршруты, для которых установлен факт наличия атаки. 6 ил.

Изобретение относится к электросвязи и может быть использовано в системах защиты от компьютерных атак путем их достоверного выявления и блокирования в информационно-вычислительных сетях (ИБС).

Известен способ защиты от компьютерных атак, реализованный в патенте РФ №2179738, "Способ обнаружения удаленных атак в компьютерной сети", класс G06F 12/14, заявл. 24.04.2000 г.

Данный способ включает следующую последовательность действий. Наблюдение за информационным потоком адресованных абоненту ИБС пакетов сообщений, включающее постоянно возобновляемый подсчет числа пакетов, выполняемый в пределах серии пакетов, поступающих из канала связи (КС) подряд друг за другом через промежутки времени не более заданного. При этом проверку поступающих пакетов данных на соответствие заданным правилам выполняют каждый раз, когда размер очередной наблюдаемой серии достигает критического числа пакетов.

Недостатками данного способа являются узкая область применения, что обусловлено его предназначением в основном для защиты от подмены одного из участников соединения, и недостаточная достоверность при обнаружении других типов компьютерных атак. В аналоге применяют ограниченную совокупность признаковых описаний компьютерных атак. При этом не учитывают наличия большого количества типов компьютерных атак, в частности типов атак, использующих фрагментацию пакетов, передаваемых между сегментами ИБС, что создает условия для пропуска последних и, как следствие, приводит к снижению устойчивости функционирования ИБС.

Известен способ оперативного динамического анализа состояний многопараметрического объекта, описанный в патенте РФ 2134897, опубликованном 20.08.1999 г., позволяющий по изменению состояния элемента ИБС обнаруживать компьютерные атаки. В известном способе преобразуют результаты допусковой оценки разнородных динамических параметров в соответствующие информационные сигналы с обобщением по всему множеству параметров в заданном временном интервале и определяют относительную величину и характер изменения интегрального состояния многопараметрического элемента ИБС.

Недостатком данного способа является узкая область применения, обусловленная тем, что несмотря на возможность оперативной диагностики технического и функционального состояний многопараметрического элемента ИБС, в нем применяют ограниченную совокупность признакового пространства, что создает условия для пропуска удаленных компьютерных атак (см. Медведовский И.Д. и др. Атака на Internet. - М.: ДМК, 1999. - 336 с.: ил.) и, как следствие, приводит к снижению устойчивости функционирования ИБС.

Известен способ защиты от компьютерных атак, реализованный в устройстве по патенту РФ 2219577, "Устройство поиска информации", класс G06F 17/40, опубликованный 24.04.2002 г. Способ заключается в том что принимают из КС i-ый пакет, где i=1, 2, 3, …, и запоминают его. Принимают (i+1)-ый пакет, запоминают его. Выделяют из заголовка i-го и (i+1)-го пакетов идентификационные признаки, анализируют их на предмет совпадения, по результатам анализа принимают решение о факте наличия компьютерной атаки.

Недостатком данного способа является относительно низкая устойчивость функционирования ИВС в условиях воздействия компьютерных атак, связанная с тем, что сравнением двух пакетов сообщений - последующего и предыдущего, распознается только одно семейство компьютерных атак - "шторм" ложных запросов на установление соединения, тогда как компьютерные атаки других типов, обладающие высокими деструктивными возможностями, не распознаются.

Известен способ защиты информационно-вычислительных сетей от компьютерных атак, реализованный в патенте RU №2285287, МПК G06F 12/14 H06F 12/22, опубл. 10.10.2006 г., бюл. №28. Способ заключается в том, что принимают i-й, где i=1, 2, 3 …, пакет сообщения из канала связи, запоминают его, принимают (i+1)-й пакет сообщения, запоминают его, выделяют из запомненных фрагментированных пакетов сообщений характеризующие их параметры, вычисляют необходимые параметры для сравнения принятых фрагментированных пакетов и по результатам сравнения принимают решение о факте наличия или отсутствия компьютерной атаки.

Недостатком данного способа является низкая оперативность обнаружения компьютерной атаки, обусловленная выполнением соответствующих действий по обнаружению уже в процессе осуществления компьютерной атаки, что может привести к несанкционированному воздействию на информационно-вычислительную сеть.

Наиболее близким по технической сущности к предлагаемому способу является способ защиты информационно-вычислительных сетей от компьютерных атак, реализованный в патенте RU №2472211, МПК G06F 12/14, опубл. 10.01.2013 г., бюл. №1. Способ заключается в следующих действиях: формируют массив для запоминания фрагментированных пакетов сообщения и массивы для запоминания параметров, в качестве выделенных полей из запомненных пакетов сообщений используют поля данных: «Время жизни пакета» {T}, «Опции» {О}, «IР адрес назначения» {D}, «IР адрес источника» {I}, дополнительно формируют список доверенных адресов получателя и отправителя пакетов сообщений, которые запоминают в массивах эталонных параметров значений полей данных: «IР адрес назначения» {D_эт} и «IР адрес источника» {I_эт}, затем адаптируют информационно-вычислительную сеть для чего в тестовом режиме, измеряют значения полей данных пакета «Время жизни пакета» и «Опции» для всех маршрутов между доверенными получателем и отправителем пакетов сообщений и запоминают измеренные значения параметров в соответствующих массивах эталонных параметров значений, после запоминания принятого пакета сообщения, выделяют из заголовка данного пакета значения полей данных: Т, О, D и I и сравнивают эталонные значения полей данных «Время жизни пакета», «Опции», «IР адрес назначения» и «IP адрес источника» со значениями полей данных из полученного пакета, причем устанавливают факт отсутствия атаки, если эталонные значения полей данных: «Время жизни пакета», «Опции», «IР адрес назначения» и «IР адрес источника» совпадают со значениями полей данных из полученного пакета, а факт наличия атаки устанавливают, если эталонные значения не совпадают со значениями полей данных из полученного пакета.

Недостатком способа-прототипа является относительно низкая защищенность от компьютерной атаки, обусловленная выполнением соответствующих действий по обнаружению компьютерной атаки для пакетов сообщений, переданных только по одному маршруту в ИБС, а также значительное увеличение времени обнаружения компьютерной атаки при увеличении количества узлов ИБС.

Задачей изобретения является создание способа защиты информационно-вычислительных сетей от компьютерных атак, обеспечивающего расширение функциональных возможностей способа-прототипа по повышению защищенности от компьютерных атак за счет определения маршрутов передачи пакетов сообщений, на которых имеются узлы, подверженные компьютерным атакам, и, соответственно, исключение повторного использования данных маршрутов, а также при увеличении количества узлов сети связи уменьшение времени на обнаружение компьютерной атаки.

Задача изобретения решается тем, что способ защиты информационно-вычислительных сетей от компьютерных атак, заключающийся в том, что формируют массив для запоминания фрагментированных пакетов сообщения и массивы для запоминания параметров, выделенных из запомненных пакетов сообщений, формируют список доверенных адресов получателя и отправителя пакетов сообщений, которые запоминают в массивах эталонных параметров значений полей данных: «IР адрес назначения» {D_эт} и «IР адрес источника» {I_эт}, принимают очередной пакет сообщения из канала связи, запоминают его, для обнаружения факта атаки или ее отсутствия выделяют из заголовка данного пакета значения полей данных: «Время жизни пакета» Т, «IР адрес назначения» D и «IР адрес источника» I, и запоминают их в соответствующих массивах {T}, {D} и {I}, сравнивают эталонные значения полей данных «Время жизни пакета», «IР адрес назначения» и «IР адрес источника» со значениями полей данных из полученного пакета, и при отсутствии компьютерной атаки передают очередной пакет сообщения, в информационно-вычислительную сеть, отличающийся тем, что дополнительно задают исходные значения поля данных «Время жизни пакета» для имеющихся маршрутов передачи пакетов сообщений, которые запоминают в сформированный для них массив {T_исх} у отправителя пакетов сообщений, и записывают их в соответствующее поле данных, затем передают пакеты сообщений по всем маршрутам между доверенными получателями и отправителями информационно-вычислительных сетей в тестовом режиме, измеряют значения полей данных пакета «Время жизни пакета» у получателя, и запоминают измеренные значения параметра в сформированный массив эталонных параметров значений поля данных «Время жизни пакета» T_эт, после чего при передаче пакетов сообщений между доверенными отправителями и получателями в поле данных пакета «Время жизни пакета» записывают соответствующие исходные значения из массива {T_исх}, затем после выделения и запоминания из заголовка принятого пакета значения полей данных: «Время жизни пакета» Т, «IР адрес назначения» D и «IР адрес источника» I в соответствующих массивах {Т}, {D} и {I}, если при сравнении эталонные значения полей данных «Время жизни пакета», «IР адрес назначения» и «IР адрес источника» не совпали со значениями полей данных из полученного пакета, передают от получателя к отправителю пакет уведомления об установлении факта наличия атаки, в этом случае для передачи очередного пакета сообщений между данной парой доверенных отправителя и получателя задают новый маршрут, и из массива {T_исх} записывают исходные значения поля данных «Время жизни пакета» для данного маршрута в соответствующее поле заголовка пакета, после чего передают очередной пакет сообщений между доверенными отправителем и получателем в соответствии с данным маршрутом, и повторно выделяют, запоминают, и сравнивают значения полей данных: «Время жизни пакета» Т, «IР адрес назначения» D и «IР адрес источника» I принятого пакета с эталонными значениями, в случае совпадения значений полей данных пакета устанавливают факт отсутствия атаки, после чего формируют массив {А}, и записывают в него все маршруты, для которых установлен факта наличия атаки.

Перечисленная новая совокупность существенных признаков обеспечивает возможность повышения защищенности от компьютерной атаки за счет определения маршрутов передачи пакетов сообщений, на которых имеются узлы подверженные компьютерной атаке и уменьшения времени на обнаружение компьютерной атаки при увеличении количества узлов в ИВС.

Проведенный анализ позволил установить, что аналоги, тождественные признакам заявленного способа, отсутствуют, что указывает на соответствие заявленного способа условию патентоспособности «новизна».

Результаты поиска известных решений в данной и смежных областях техники с целью выявления признаков, совпадающих с отличительными от прототипа признаками заявленного объекта, показали, что они не следуют явным образом из уровня техники. Из уровня техники также не выявлена известность влияния предусматриваемых существенными признаками заявленного изобретения преобразований на достижение указанного технического результата. Следовательно, заявленное изобретение соответствует условию патентоспособности «изобретательский уровень».

«Промышленная применимость» способа обусловлена наличием элементной базы, на основе которой могут быть выполнены устройства, реализующие данный способ с достижением указанного в изобретении назначения.

Заявленный способ поясняется чертежами, на которых показано:

фиг. 1 - блок-схема алгоритма способ защиты ИВС от компьютерных атак;

фиг. 2 - схема поясняющая порядок формирования маршрутов передачи пакетов сообщений в ИВС;

фиг. 3-схема поясняющая реализацию компьютерных атак и изменение маршрутов передачи пакетов сообщений в ИВС;

фиг. 4 - заголовок IP дейтограммы;

фиг. 5 - таблица эталонных значений полей данных «IР адрес назначения», «IР адрес источника» и «Время жизни пакета» для определенных маршрутов;

фиг. 6 - зависимость времени обнаружения компьютерной атаки от количества узлов сети связи.

Реализация заявленного способа поясняется алгоритмом (фиг. 1), схемами (фиг. 2 и фиг. 3) и объясняется следующим образом:

На начальном этапе формируют массивы Р, D, I, Т, D_эт, I_эт, T_исх, T_эт для запоминания параметров задаваемых и выделенных из запомненных пакетов сообщений соответственно (блок 1, фиг. 1):

Р - для запоминания поступающих из канала связи IР-пакетов сообщений;

D - для запоминания значений поля данных «IР адрес назначения»;

I - для запоминания значений поля данных «IР адрес источника»;

Т - для запоминания значений поля данных «Время жизни пакета»;

D_эт - для запоминания эталонных параметров значений поля данных «IР адрес назначения»;

I_эт - для запоминания эталонных параметров значений поля данных «IР адрес источника»;

T_исх - для запоминания исходных параметров значений поля данных «Время жизни пакета»;

Т_эт - для запоминания эталонных параметров значений поля данных «Время жизни пакета».

В предлагаемом изобретении используют функции IР-протокола, применяемые при передаче пакетов по сети. Заголовок протокола IP содержит множество полей (фиг. 4). В полях «IР адрес назначения» и «IР адрес источника» будут находиться 32 битные последовательности, определяющие логические адреса назначения и источника пакета сообщения необходимые для передачи его по ИВС. Поле «Время жизни пакета» определяет максимальное время существования дейтаграммы в сети [RFC 791, Internet Protocol, 1981, сентябрь, стр. 14-22].

Определяют доверенные IP-адреса получателя и отправителя для запоминания этих значений в массив D_эт, I_эт (блок 2, фиг. 1). Под доверенными IР-адресами понимают пары адресов, источника и назначения, легитимных абонентов различных фрагментов ИВС. Запоминают данные значения доверенных адресов получателя и отправителя пакетов сообщений в соответствующих массивах.

Кроме того задаются и запоминаются исходных значения Г_исх параметров поля данных «Время жизни пакета» для всех маршрутов передачи пакетов сообщений (блок 3, фиг. 1). При этом данные значения задаются с учетом количества узлов сети связи на маршруте передачи.

Таким образом, последовательность узлов, лежащих на пути от отправителя к получателю, образуют маршрут передачи сообщений [В.Г. Олифер, Н.А. Олифер Компьютерные сети. Принципы, технологии, протоколы (3-е издание) Спб.: Питер - 2006, стр. 64].

Это связано с тем, что значение поля «Время жизни пакета» необходимо для реализации механизма стирания пакетов, у которых значение данного поля равно нулю [RFC 791, Internet Protocol, 1981, сентябрь, стр. 14-22]. Для обеспечения гарантированной доставки пакетов до получателя значение данного поля должно превышать количество промежуточных узлов на маршруте передачи. В общем случае исходное значение T_исх параметра поля данных «Время жизни пакета» может быть выбрано одно для всех маршрутов, но оно должно соответствовать наиболее протяженному маршруту, имеющего большее количество узлов. Например, на фиг. 2 показано пять возможных маршрутов передачи пакетов по сети связи между отправителем и получателем. Так первый маршрут, состоящий из промежуточных узлов с адресами: 100.0.0.1; 101.0.0.1; 109.0.0.1; 115.0.0.2 достаточным значением поля данных «Время жизни пакета» является пять. А для пятого маршрута, состоящего из промежуточных узлов с адресами: 100.0.0.1; 103.0.0.1; 104.0.0.2; 108.0.0.1; 114.0.0.2; 120.0.0.2; 119.0.0.1; 118.0.0.2 уже достаточным значением поля данных «Время жизни пакета» является девять. Учитывая, что пятый маршрут имеет максимальное количество промежуточных узлов, то T_исх может быть выбрано равным десяти для всех маршрутов, как показано на фиг. 5.

Затем, осуществляется перевод ИВС в тестовый режим функционирования, который подразумевает ее адаптацию к реальным условиям (блок 4, фиг. 1). Под адаптацией в соответствии с [ГОСТ Р 53622-2009 «Информационные технологии. Информационно-вычислительные системы. Стадии и этапы жизненного цикла, виды и комплектность документов», стр. 4-5] понимается работа информационно-вычислительной сети в тестовом режиме для внедрения ее в конкретные условия функционирования. При этом в тестовом режиме предполагаются идеальные условия функционирования сети связи, т.е. отсутствие компьютерных атак, что позволяет получить эталонные значения необходимых характеристик передаваемых пакетов сообщений. В данном режиме осуществляется передача пакетов сообщений между всеми парами от отправителя I^k_j к получателю D^k_j, j=1, 2, … N, где N - количество пар адресов доверенных абонентов, по всем имеющимся маршрутам k=1, 2, … M, где М - количество маршрутов между j-й парой адресов доверенных абонентов (блок 5, фиг. 1).

Далее у получателя измеряют реальные значения поля данных пакета «Время жизни пакета» T^k_j для всех имеющихся маршрутов k=1, 2, … М для всех существующих пар адресов доверенных абонентов j=1, 2, … N (блоки 6-11, фиг. 1).

При передаче пакетов по сети промежуточные узлы (маршрутизаторы) осуществляют их маршрутизацию по адресной информации, имеющейся в заголовке пакета [ГОСТ Р ИСО/МЭК 7498-1-99 «Информационная технология. Взаимосвязь открытых систем. Базовая эталонная модель. Часть 1. Базовая модель», стр. 13].

Таким образом, полученные значения поля данных пакета «Время жизни пакета» T^k_j показывают количество промежуточных узлов, через которые передан пакет сообщения по k-му маршруту между j-й парой отправитель-получатель. Например, для маршрутов передачи пакетов сообщения, показанных на фиг. 2, приведены измеренные значения поля данных пакета «Время жизни пакета» T^k_j в таблице фиг. 5, которые являются эталонными (т.к. они получены в тестовом режиме функционирования) для соответствующих маршрутов и будут записаны в массив {T_эт} (блок 7, фиг. 1). Так, для первого маршрута, учитывая заранее заданное у отправителя исходное значение параметра поля данных «Время жизни пакета» T_исх=10, на каждом промежуточном узле (маршрутизаторе) через которые передается пакет сообщения (узлы: 100.0.0.1; 101.0.0.1; 109.0.0.1; 115.0.0.2) значение поля данных «Время жизни пакета» уменьшается на единицу [В.Г. Олифер, Н.А. Олифер Компьютерные сети. Принципы, технологии, протоколы (3-е издание) Спб.: Питер - 2006., стр. 600] и эталонное значение поля данных «Время жизни пакета» принятого пакета у получателя получится равным T_эт=10-4=6. Аналогично для маршрутов 2-5 показанных на фиг. 2 в таблице фиг. 5 приведены соответствующие эталонные значения поля данных «Время жизни пакета»: маршрут 2 имеет пять промежуточных узлов (узлы: 100.0.0.1; 102.0.0.1; 105.0.0.2; 110.0.0.1; 115.0.0.2) и эталонные значения T_эт=10-5=5; маршрут 3 имеет шесть промежуточных узлов (узлы: 100.0.0.1; 103.0.0.1; 107.0.0.2; 106.0.0.2; 110.0.0.1; 115.0.0.2) и эталонные значения T_эт=10-6=4; маршрут 4 имеет семь промежуточных узлов (узлы: 100.0.0.1; 103.0.0.1; 107.0.0.2; 113.0.0.2; 112.0.0.2; 111.0.0.1; 117.0.0.1) и эталонные значения T_эт=10-7=3; маршрут 5 имеет восемь промежуточных узлов (узлы: 100.0.0.1; 103.0.0.1; 104.0.0.2; 108.0.0.1; 114.0.0.2; 120.0.0.2; 119.0.0.1; 118.0.0.2) и эталонные значения T_эт=10-8=2.

После того как все эталонные значения проверяемых параметров собраны и записаны в соответствующие массивы, осуществляют перевод ИВС в режим реальной работы (эксплуатация) (блок 12, фиг. 1). При этом на ИВС злоумышленники будут осуществлять различные воздействия, в том числе реализуя компьютерные атаки.

Далее при функционировании ИВС получатель принимает i-й пакет сообщения из канала связи, запоминает его в массиве Р для дальнейшей работы с заголовком i-го пакета (блоки 13, 14, фиг. 1).

После этого выделяют из заголовка i-го пакета значения поля данных «Время жизни пакета» T_i, поля данных «IР адрес назначения» D_i и поля данных «IР адрес источника» I_i и запоминают их в массивах {T}, {D}, {I}.

Затем производится сравнение запомненных значений D_i, I_i принятого пакета сообщения с эталонными значениями из массивов {D_эт}, {I_эт}, определение пары отправитель-получатель (конкретная j-я пара доверенных абонентов) и определение соответствующего маршрута передачи данного пакета сообщения при сравнении запомненного значения T_i с эталонными значениями из массива {T_эт} для данной пары отправитель-получатель (блок 16, фиг. 1). При этом если компьютерная атака воздействует на узлы 101.0.0.1 и 102.0.0.1 (фиг. 3), то первый и второй маршруты (фиг. 5) будут недоступны для передачи пакетов сообщений, т.к. данные узлы входят в соответствующие маршруты (узел 101.0.0.1 в первый маршрут, узел 102.0.0.1 во второй маршрут). В этом случае узел 100.0.0.1 работающий как маршрутизатор имеет в таблице маршрутизации несколько (для приведенного примера пять) альтернативных маршрутов [В.Г. Олифер, Н.А. Олифер Компьютерные сети. Принципы, технологии, протоколы (3-е издание) Спб.: Питер - 2006, стр. 198]. Из них выбирается определенный маршрут по заданному критерию, например задержка прохождения маршрута пакетом [В.Г. Олифер, Н.А. Олифер Компьютерные сети. Принципы, технологии, протоколы (3-е издание) Спб.: Питер - 2006, стр. 602-613], т.е. количество промежуточных узлов на маршруте. Таким образом, маршрутизатор выберет третий маршрут, имеющий по данному критерию превосходство над остальными (меньшее количество промежуточных узлов), который является альтернативным относительно первого и второго маршрутов.

В случае невыполнения условия (блок 16, фиг. 1) от получателя D_j к отправителю I_i передается пакет, уведомляющий об «установлении факта наличия компьютерной атаки» (блок 17, фиг. 1) и отправитель задает следующий маршрут передачи пакетов k=k+1 для данной пары отправитель-получатель (для приведенного примера выбирается из таблицы фиг. 5 третий маршрут), а для него выбирается и записывается в поле данных «Время жизни пакета» соответствующее исходное значение из массива {T_исх} (блок 19, фиг. 1).

Затем по выбранному маршруту передается очередной пакет сообщения (блок 20, фиг. 1) от отправителя к получателю и для данного пакета повторно осуществляются действия начиная с приема пакета сообщения из канала связи (блок 13, фиг. 1).

В случае если условия (блок 16, фиг. 1) выполняются, то делается вывод об отсутствии факта компьютерной атаки и передают данный i-й пакет сообщения в информационно-вычислительную сеть (блок 21, фиг. 1).

После чего, формируется массив {А}, и записывается в него все маршруты, для которых установлен факта наличия атаки (блок 22, фиг. 1), что позволяет исключить повторное их использование для передачи пакетов сообщения.

Возможность реализации сформулированного технического результата была проверена путем машинного моделирования. С помощью моделирования получена взаимосвязь значений времени распознавания t_обн (обнаружения) компьютерной атаки от количества узлов сети связи N (фиг. 6).

Достижение технического результата поясняется следующим образом. Для способа-прототипа при обнаружении компьютерной атаки осуществляется сравнение значений полей данных «Время жизни пакета» и «Опции» пакетов за время T₁, которое зависит в основном от значений поля «Опции», т.к. в нем размещается маршрут передачи пакета - это 3-15 узлов в маршруте [В.Г. Олифер, Н.А. Олифер Компьютерные сети. Принципы, технологии, протоколы (3-е издание) Спб - 2009 г., стр. 608-611], а он состоит из адресов промежуточных узлов - это 4 байта в десятичной форме 12 разрядов [В.Г. Олифер, Н.А. Олифер Компьютерные сети. Принципы, технологии, протоколы (3-е издание) Спб - 2009 г., стр. 567-571]. Для предлагаемого способа выявление компьютерной атаки производится по результатам анализа значений поля данных «Время жизни пакета» принятого пакета за время Т₂, которые зависят только от количества узлов в маршруту передачи - это 2-3 разрядное число в десятичной форме.

При этом разница в требуемом времени для обнаружения компьютерной атаки ΔT=T₁-Т₂ тем больше чем больше количество узлов сети связи, чем и достигается сформулированный технический результат при реализации заявленного способа, т.е. уменьшению времени на обнаружение компьютерной атаки.

Кроме того, повышение защищенности от компьютерных атак для приведенного примера достигается тем, что из имеющихся пяти маршрутов передачи пакетов сообщений в двух имеются узлы подверженные компьютерной атаке и в предлагаемом способе по ним исключена повторная передача пакетов сообщения. В этом случае защищенность ИВС от компьютерных атак повышается на 25%, что подтверждает сформулированный технический результат.

Таким образом, заявленный способ за счет определения маршрутов передачи пакетов сообщений, на которых имеются узлы подверженные компьютерной атаке и соответственно исключение повторного использования данных маршрутов позволяет повысить защищенность ИВС от компьютерных атак, а также при увеличении количества узлов сети связи уменьшить время на их обнаружение.

Способ защиты информационно-вычислительных сетей от компьютерных атак, заключающийся в том, что формируют массив для запоминания фрагментированных пакетов сообщения и массивы для запоминания параметров, выделенных из запомненных пакетов сообщений, формируют список доверенных адресов получателя и отправителя пакетов сообщений, которые запоминают в массивах эталонных параметров значений полей данных: «IP адрес назначения» {D_эт} и «IP адрес источника» {I_эт}, принимают очередной пакет сообщения из канала связи, запоминают его, для обнаружения факта атаки или ее отсутствия выделяют из заголовка данного пакета значения полей данных: «Время жизни пакета» Т, «IP адрес назначения» D и «IP адрес источника» I, и запоминают их в соответствующих массивах {T}, {D} и {I}, сравнивают эталонные значения полей данных «Время жизни пакета», «IP адрес назначения» и «IP адрес источника» со значениями полей данных из полученного пакета, и при отсутствии компьютерной атаки передают очередной пакет сообщения, в информационно-вычислительную сеть, отличающийся тем, что дополнительно задают исходные значения поля данных «Время жизни пакета» для имеющихся маршрутов передачи пакетов сообщений, которые запоминают в сформированный для них массив {T_исх} у отправителя пакетов сообщений и записывают их в соответствующее поле данных, затем передают пакеты сообщений по всем маршрутам между доверенными получателями и отправителями информационно-вычислительных сетей в тестовом режиме, измеряют значения полей данных пакета «Время жизни пакета» у получателя и запоминают измеренные значения параметра в сформированный массив эталонных параметров значений поля данных «Время жизни пакета» Т_эт, после чего при передаче пакетов сообщений между доверенными отправителями и получателями в поле данных пакета «Время жизни пакета» записывают соответствующие исходные значения из массива {T_исх}, затем после выделения и запоминания из заголовка принятого пакета значения полей данных: «Время жизни пакета» Т, «IP адрес назначения» D и «IP адрес источника» I в соответствующих массивах {Т}, {D} и {I}, если при сравнении эталонные значения полей данных «Время жизни пакета», «IP адрес назначения» и «IP адрес источника» не совпали со значениями полей данных из полученного пакета, передают от получателя к отправителю пакет уведомления об установлении факта наличия атаки, в этом случае для передачи очередного пакета сообщений между данной парой доверенных отправителя и получателя задают новый маршрут, и из массива {T_исх} записывают исходные значения поля данных «Время жизни пакета» для данного маршрута в соответствующее поле заголовка пакета, после чего передают очередной пакет сообщений между доверенными отправителем и получателем в соответствии с данным маршрутом, и повторно выделяют, запоминают и сравнивают значения полей данных: «Время жизни пакета» Т, «IP адрес назначения» D и «IP адрес источника» I принятого пакета с эталонными значениями, в случае совпадения значений полей данных пакета устанавливают факт отсутствия атаки, после чего формируют массив {А} и записывают в него все маршруты, для которых установлен факта наличия атаки.

Изобретение относится к системе первого веб-сервиса для анонимной авторизации пользователя сервиса, который обладает учетной записью, связанной с системой первого веб-сервиса.

Электромеханический ударный преобразователь механического и электромагнитного действий // 2610253

Изобретение относится к технике защиты информации на цифровых накопителях при возникновении опасности ее утечки, при которой осуществляется уничтожение информации как на основании получения сигналов о попытке несанкционированного проникновения, так и по желанию пользователя.

Способ выполнения кода в режиме гипервизора // 2609761

Изобретение относится к области компьютерной безопасности. Технический результат заключается в обеспечении выполнения кода в режиме гипервизора.

Способ ввода конфиденциальных данных // 2606556

Изобретение относится к области защиты данных, а именно к способам защиты данных, вводимых пользователем на устройстве. Технический результат настоящего изобретения заключается в повышении безопасности вводимых данных на устройстве путем использования на устройстве метода ввода, соответствующего требованиям безопасности.

Способ модификации разрешений на доступ к памяти в защищенной процессорной среде // 2602793

Изобретение относится к вычислительной технике. Технический результат заключается в оптимизации модификации разрешений на доступ к защищенному анклаву памяти.

Способ идентификации мобильного терминала и мобильный терминал // 2601841

Изобретение относится к технологиям сетевой связи. Технический результат заключается в повышении безопасности передачи данных.

Система и способ выявления целевых атак // 2601147

Изобретение относится к средствам обеспечения компьютерной безопасности. Технический результат заключается в повышении безопасности компьютерных систем.

Использование аутентифицированных манифестов для обеспечения внешней сертификации многопроцессорных платформ // 2599340

Изобретение относится к многопроцессорным платформам. Технический результат - защита данных.

Электромеханическое импульсное устройство ударно-механического и электромагнитного воздействия // 2594990

Изобретение относится к технике защиты информации, при которой осуществляется уничтожение информации как на основании получения сигналов о попытке несанкционированного проникновения, так и по желанию пользователя.

Способ обнаружения вредоносного кода в оперативной памяти // 2589862

Изобретение относится к области защиты от компьютерных угроз, а именно способам обнаружения вредоносного кода в оперативной памяти. Технический результат настоящего изобретения заключается в повышении защиты вычислительного устройства.

Способ предоставления доступа к распределенным информационно-вычислительным ресурсам в виде корпоративных порталов через защищенную виртуальную среду // 2626664

Изобретение относится к области вычислительной техники. Технический результат – повышение надежности и защищенности информации от несанкционированного доступа. Способ включает идентификацию пользователя сети порталов по активному сеансу и проведение проверки подлинности для неидентифицированных пользователей посредством одного из узлов доступа защищенной виртуальной среды по наличию атрибутов сеанса пользователя, представленных идентификатором пользовательского сеанса и факторами прохождения аутентификации, подписанными центральным узлом либо резервным центральным узлом. А аутентификационные данные пользователей хранят только на сервере LDAP центрального узла и сервере LDAP центрального резервного узла защищенной виртуальной среды. Запрос для доступа к информационно-вычислительному ресурсу обрабатывает один из узлов доступа защищенной виртуальной среды, который производит проверку подлинности сеанса пользователя на центральном узле, в результате успешной проверки подлинности сеанса пользователя клиентского ПК центральный узел в виде ответа на запрос направляет на узел доступа атрибуты сеанса пользователя, которые узел доступа сначала сохраняет на сервере LDAP узла доступа. Затем узел доступа проводит проверку привилегированности доступа пользователя к запрашиваемым данным информационно-вычислительного ресурса и в результате успешной проверки предоставляет к ним доступ. А в случае запроса пользователя к другому информационно-вычислительному ресурсу проверку подлинности сеанса пользователя производят путем проверки атрибутов сеансовых данных, хранимых на сервере LDAP узла доступа. 5 ил.

Система на кристалле для выполнения безопасной начальной загрузки, использующее ее устройство формирования изображения и способ ее использования // 2628325

Изобретение относится к компьютерной технике. Технический результат – улучшение безопасности процесса начальной загрузки оперативной памяти. Система на кристалле для выполнения безопасной начальной загрузки с использованием зашифрованных данных, содержащая: первую память для хранения множества ключей шифрования, которые сохранены; вторую память; третью память для хранения значения задания ключа шифрования, которое сохранено; первый контроллер памяти для управления доступом к первой памяти; второй контроллер памяти для управления доступом ко второй памяти; шину; ЦП для дешифрования зашифрованных данных, которые хранятся во внешней энергонезависимой памяти, с использованием ключа шифрования, соответствующего значению задания ключа шифрования из множества ключей шифрования для того, чтобы сохранить дешифрованные данные во второй памяти и выполнить начальную загрузку с использованием данных, сохраненных во второй памяти; и переключающий блок для выборочного соединения одного из первого контроллера памяти и второго контроллера памяти с шиной в соответствии с рабочим состоянием ЦП. 4 н. и 8 з.п. ф-лы, 31 ил.

Способ обнаружения удаленных атак на автоматизированные системы управления // 2628913

Изобретение относится к области электросвязи. Технический результат заключается в повышении достоверности обнаружения источника удаленных компьютерных атак. В способе формируют исходный граф сети связи, отражающий топологию и структуру сети связи, запоминают совокупность из N опорных пакетов, создают на каждом узле маршрутизации заданной сети журнал регистрации обрабатываемого трафика и при прохождении k-го пакета сообщения запоминают в журнале регистрации его заголовок, проверяют поступающие пакеты данных на соответствие заданным правилам и в соответствии с ними делают вывод о наличии атаки, фиксируют время ее обнаружения и отправляют формализованный запрос на все узлы сети, производят операцию сравнения на узлах маршрутизации информации из журналов регистрации с полученным запросом, получают формализованный ответ от узлов маршрутизации, строят вариационный ряд времен прохождения пакета с выявленными признаками атаки и соответствующий маршрут прохождения вредоносного трафика по сети, идентифицируют первый узел из вариационного ряда как узел, абонент которого является источником удаленной атаки. 5 ил.

Системы и способы предотвращения несанкционированного перемещения стека // 2629442

Группа изобретений относится к вычислительной технике. Техническим результатом является предотвращение несанкционированной модификации стека. Способ содержит этапы, на которых: посредством системы обработки данных сохраняют первый адрес памяти в регистре нижней границы стека, причем регистр нижней границы стека связан с по меньшей мере одним из следующих режимов: 32-битовый пользовательский режим, 64-битовый пользовательский режим или привилегированный режим, первый адрес памяти обозначает нижнюю границу памяти, адресуемой через сегмент стека; сохраняют второй адрес памяти в регистре верхней границы стека, причем регистр верхней границы стека связан с по меньшей мере одним из следующих режимов: 32-битовый пользовательский режим, 64-битовый пользовательский режим или привилегированный режим, второй адрес памяти обозначает верхнюю границу памяти, адресуемой через сегмент стека; определяют обращение к памяти через сегмент стека; и детектируют несанкционированное перемещение стека путем сравнения адреса памяти, к которому обращаются через сегмент стека, по меньшей мере с первым адресом памяти и вторым адресом памяти. 3 н. и 16 з.п. ф-лы, 11 ил.

Способ контроля доступа к файлам // 2630163

Изобретение относится к вычислительной технике, а именно к защите от несанкционированного доступа к информации, обрабатываемой и хранимой в информационно-вычислительных системах различного назначения. Технический результат – снижение времени обращения к файлам при контроле прав доступа к ним и соответственно повышение быстродействия информационно-вычислительной системы в целом. Способ контроля доступа к файлам заключается в предварительном (на этапе получения доступа к операционной системе пользователем, после его идентификации) формировании списков файлов, с которыми пользователю разрешено проводить различные действия. При этом для каждого действия формируются свои списки, которые после входа пользователя помещаются в оперативную память, в область, недоступную для несанкционированного доступа. 1 ил.

Способ и электронное устройство управления разрешениями для объектов // 2632142

Изобретение относится к способу и устройству управления разрешениями для объектов. Технический результат заключается в обеспечении управления разрешениями для объектов. В способе выполняют получение первого запроса на первый объект от первого запросчика на выполнение первого действия над первым объектом, требующего первого разрешения, в ответ на первый запрос центральным менеджером разрешений дается первое разрешение на выполнение первого действия первому запросчику, и первый запросчик контролирует первый объект, получение второго запроса на первый объект от второго запросчика на выполнение второго действия над первым объектом, требующего второго разрешения, в ответ на второй запрос осуществляют передачу второго запроса первому запросчику, контролирующему первый объект, и либо, в ответ на то, что первый запросчик дает второе разрешение второму запросчику, разрешают выполнять второму запросчику второе действие, второй запросчик получает контроль над первым объектом, и выполняют завершение первого разрешения и выполнения первого действия первым запросчиком, либо, в ответ на то, что первый запросчик не дает второе разрешение второму запросчику и не позволяет выполнять второе действие вторым запросчиком, первый запросчик продолжает контролировать объект. 2 н. и 13 з.п. ф-лы, 3 ил.

Способ защиты информационно-вычислительной сети от несанкционированных воздействий // 2635256

Изобретение относится к электросвязи и может быть использовано в системах защиты от несанкционированных воздействий путем прогнозирования возникновения и устранения уязвимостей при масштабировании и других изменениях информационно-вычислительной сети (ИВС) одновременно с ее функционированием. Технический результат заключается в повышении защиты ИВС с обеспечением структурной надежности ИВС за счет точечного выявления и блокирования элементов сети с нарушениями функциональных возможностей. Способ позволяет сократить время простоя сети и тем самым повысить устойчивость работы ИВС. При этом осуществляют выявление, анализ и оценку уязвимостей ИВС до использования маршрута передачи пакетов в ней, учитывают, как появление новых маршрутов вследствие масштабирования ИВС и других изменений сети, так и количественную оценку ее уязвимости при принятии решения на устранение уязвимости, что позволит уменьшить время на выявление атаки и время принятия решения на локализацию атаки. Вместе с тем уменьшится среднее время выявления и устранения уязвимостей и , отсюда следует, что показатель времени исправной работы ИВС увеличивается. 10 ил.

Способ деперсонализации персональных данных // 2636106

Изобретение относится к области защиты информации, хранимой в информационных системах персональных данных (ИСПДн), от несанкционированного доступа (НСД) и может быть использовано на стадиях разработки и оптимизации ИСПДн в защищенном исполнении. Техническим результатом является повышение уровня безопасности ИСПДн. Способ обезличивания персональных данных обеспечивает защиту ИСПДн от НСД на стадиях разработки и оптимизации, оперирует персональными данными субъектов, хранящимися и обрабатываемыми в ИСПДн, и осуществляет хеширование ключевых атрибутов по алгоритму Keccak. При этом на первом этапе экспертным путем определяются ключевые атрибуты. На втором этапе исходное множество данных D(d1, d2, ..., dM), где М - число атрибутов, разбивается на два непересекающихся подмножества данных А1 и А2, относящихся к ключевым и неключевым атрибутам соответственно. На третьем этапе производится хеширование данных из А1 для каждого субъекта и вычисляется значение хеш-функции, которое является одним из атрибутов обоих множеств. 1 з.п. ф-лы.

Движок интроспекции памяти для защиты целостности виртуальных машин // 2640300

Изобретение относится к области антивредоносных систем, использующих технологию аппаратной виртуализации. Техническим результатом является защита компьютерных систем от вредоносных программ. Раскрыта хостовая система, содержащая по меньшей мере один процессор, конфигурированный с возможностью выполнять: операционную систему, конфигурированную с возможностью выделять секцию виртуализированной физической памяти виртуальной машины целевому программному объекту, выполняемому в виртуальной машине, причем виртуальная машина открыта гипервизором, выполняемым на хостовой системе, при этом виртуализированная физическая память разделена на страницы, причем страница представляет собой наименьшую единицу памяти, индивидуально отображаемой между виртуализированной физической памятью и физической памятью хостовой системы; и модуль подготовки защиты, конфигурированный с возможностью, в ответ на определение того, удовлетворяет ли целевой программный объект критерию выбора для защиты от вредоносных программ, когда целевой программный объект удовлетворяет этому критерию выбора, изменять выделение памяти целевого объекта, при этом изменение выделения памяти включает в себя обеспечение того, что любая страница, содержащая по меньшей мере часть целевого программного объекта, зарезервирована для целевого программного объекта. 3 н. и 26 з.п. ф-лы, 10 ил.

Способ уничтожения конфиденциальной информации, хранимой в микросхемах памяти электронных приборов // 2640725

Изобретение относится к вычислительной технике. Технический результат заключается в уничтожении конфиденциальной информации, хранимой в микросхемах памяти электронных приборов с целью ее защиты от несанкционированного доступа. Способ уничтожения конфиденциальной информации, хранимой в микросхемах памяти электронных приборов, в котором используют механический пробойник, с помощью которого осуществляют механическое разрушение не менее одной микросхемы памяти, которую устанавливают на печатную плату со сквозным отверстием внутри корпуса электронного прибора, причем используют внешний механический пробойник для ударного воздействия, который устанавливают в посадочное место, выполненное на наружной поверхности корпуса, при этом ось посадочного места соосна с осью центра микросхемы памяти и центром отверстия печатной платы, а механическое ударное воздействие на кристаллы микросхем памяти осуществляют через стенку корпуса прибора. 3 ил.