Способ обнаружения удаленных атак на автоматизированные системы управления

Изобретение относится к области электросвязи. Технический результат заключается в повышении достоверности обнаружения источника удаленных компьютерных атак. В способе формируют исходный граф сети связи, отражающий топологию и структуру сети связи, запоминают совокупность из N опорных пакетов, создают на каждом узле маршрутизации заданной сети журнал регистрации обрабатываемого трафика и при прохождении k-го пакета сообщения запоминают в журнале регистрации его заголовок, проверяют поступающие пакеты данных на соответствие заданным правилам и в соответствии с ними делают вывод о наличии атаки, фиксируют время ее обнаружения и отправляют формализованный запрос на все узлы сети, производят операцию сравнения на узлах маршрутизации информации из журналов регистрации с полученным запросом, получают формализованный ответ от узлов маршрутизации, строят вариационный ряд времен прохождения пакета с выявленными признаками атаки и соответствующий маршрут прохождения вредоносного трафика по сети, идентифицируют первый узел из вариационного ряда как узел, абонент которого является источником удаленной атаки. 5 ил.

 

Изобретение относится к области электросвязи и может быть использовано в системах защиты от компьютерных атак путем их оперативного выявления на узле маршрутизации и доступа к элементу автоматизированной системы управления (АСУ), обнаружения и блокирования источника удаленных компьютерных атак или одного и более элементов внешней сети, которые используются для доставки вредоносного трафика.

Известно, что обнаружение удаленных компьютерных атак не является самоцелью, а только частью мероприятий, необходимых для обеспечения информационной безопасности [Лукацкий А.В. Обнаружение атак. СПб.: БХВ-Петербург, 2001, стр. 71-74]. Обнаружение удаленных компьютерных атак включает комплекс исходных, для организации и обеспечения защиты, данных, а именно: обнаружение факта атаки, определение ее типа, а также источника атаки и маршрута доставки вредоносного трафика.

Анализ предшествующего уровня техники показал, что в настоящее время существует ряд решений, предназначенных для защиты информационно-вычислительных сетей от компьютерных атак, обеспечивающих обнаружение компьютерных атак.

Известен "Способ защиты информационно-вычислительных сетей от компьютерных атак" по патенту РФ №2285287, кл. G06F 12/14, H04L 12/22, опубликованный 10.10.06 г. Известный способ заключается в том, что принимают i-й, где i=1, 2, 3, пакет сообщения из канала связи, запоминают его, принимают пакет сообщения, запоминают его, выделяют из запомненных пакетов сообщений характеризующие их параметры, сравнивают их и по результатам сравнения принимают решение о факте наличия или отсутствия компьютерной атаки. При этом при обнаружении фрагментированных пакетов сообщений запоминают их в предварительно созданном массиве и определяют правильность сборки выявленных фрагментированных пакетов сообщений. В случае невозможности правильной сборки фрагментированных пакетов сообщений принимают решение о наличии компьютерной атаки (атака вида «Teardrop») и запрещают передачу выявленных пакетов сообщений в защищаемую компьютерную сеть.

Недостатком этого способа является узкая область применения, что обусловлено его предназначением для защиты от одного вида атак, и, соответственно, невозможность обнаружения атак других видов. При этом отсутствует возможность обнаружения источника этих атак.

Известен "Способ обнаружения компьютерных атак на сетевую компьютерную систему" по патенту РФ №2538292, кл. G06F 21/55, опубликованный 10.01.15 г. Известный способ заключается в обеспечении возможности обнаружения компьютерных атак разных видов, комбинированных одновременных атак разных видов и определения видов атак. Для этого в способе для анализа полученных из сети пакетов выбираются определенные параметры и вычисляются их значения, которые затем сравниваются с эталонными значениями, а факт наличия одиночной или комбинированной одновременной атаки и определение видов атак определяется по сочетанию установленных условий для параметров.

Недостатком данного способа является специализация только на атаках типа «отказ в обслуживании», а также невозможность достоверного обнаружения источника компьютерных атак.

Известен "Способ анализа и выявления вредоносных промежуточных узлов в сети" по патенту РФ №2495486, кл. G06F 21/00, опубликованный 10.10.13 г. Известный способ заключается в выявлении и блокировании промежуточных узлов злоумышленника через которые осуществляется доступ к доверенным узлам и достигается за счет исследования связей между узлами сети, построения графа связей между узлами сети путем оценки интенсивности использования канала связи. Графы анализируются с помощью эвристических алгоритмов, выявляются используемые каналы связи между узлами сети. При этом узлы графа - это адреса промежуточных узлов сети, а дуги - каналы связи между узлами, имеющие вес, соответствующий частоте использования канала для передачи трафика от доверенного узла сети. Автоматически блокируются те из узлов сети, которые связаны с доверенным узлом, но присутствие которых в маршруте не характерно для доступа к данному доверенному узлу, т.е. имеющих вес меньше, чем вес дуги канала, который использовался ранее для передачи трафика от доверенного узла сети.

Недостатком данного способа является использование эвристического подхода при анализе маршрутов следования трафика, заключающегося в том, что каналам связи между узлами задается вес, соответствующий частоте использования этого канала для передачи трафика от доверенного узла, однако не учитывается реальная обстановка на сети, заключающаяся в динамической маршрутизации трафика. В способе не учитывается вероятность присутствия в сети промежуточного узла злоумышленника до начала работы по набору статистики, что приведет к принятию заведомо вредоносного узла за легитимный. Отсутствует возможность достоверного обнаружения источника удаленных атак, т.к. сбор данных происходит не на сети в целом, а на маршруте между доверенными узлами, в результате чего происходит блокировка возможно скомпрометированного узла, а не источника компьютерных атак.

Наиболее близким по своей технической сущности к заявленному является "Способ обнаружения удаленных атак на автоматизированные системы управления", патент РФ №2264649, кл. G06F 12/14, опубликованный 20.11.2005 г. Суть способа-прототипа заключается в том, что задают количество N≥1 эталонов возможных атак, минимально допустимое значение показателя сходства сравниваемых признаковых полей пакетов сообщений Kcx.min, максимально допустимое количество совпадений признаковых полей i-го опорного пакета (эталона) со сравниваемыми признаковыми полями поступившего из канала связи на анализ пакета Kсовп.iдоп, где i=1, 2, …N и устанавливают число совпадений Kсовп.i=0. Кроме того, предварительно запоминают совокупность из N опорных пакетов, содержащих эталоны заданных атак. Затем принимают из канала связи k-й пакет сообщения, где k=1, 2, …, выделяют из его заголовка признаковые поля и сравнивают их значения со значениями признаковых полей опорных N пакетов. По результатам сравнения вычисляют коэффициенты сходства Kcx.i и сравнивают их с предварительно заданным значением Kcx.min. При выполнении условия Kcx.i≥Kcx.min запоминают Kcx.i, соответствующий ему k-й пакет сообщения и увеличивают значение Kсовп.i на единицу. При выполнении условия Kcx.i<Kcx.min принимают (k+1)-й пакет сообщения. После этого действия, начиная с выделения из заголовка (k+1)-го пакета признаковых полей, повторяют до тех пор, пока не будет выполнено условие Kсовп.i≥Kсовп.iдоп, при выполнении которого делают вывод о наличии i-й атаки.

Недостатком способа-прототипа является отсутствие возможности определения источника удаленных компьютерных атак и маршрута доставки вредоносного трафика, что дает возможности злоумышленнику по дальнейшему проведению деструктивных программных воздействий в отношении защищаемой АСУ, так как отсутствует вся информация, необходимая для организации защиты.

Техническим результатом заявленного изобретения является повышение достоверности обнаружения источника удаленных компьютерных атак на элемент автоматизированной системы управления и определение маршрута следования вредоносного трафика.

Технический результат достигается тем, что в известном способе обнаружения удаленных атак на автоматизированные системы управления, заключающемся в том, что задают количество N≥1 эталонов возможных атак, минимально допустимое значение показателя сходства сравниваемых признаковых полей пакетов сообщений Kcx.min, максимально допустимое количество совпадений признаковых полей i-го опорного пакета (эталона) со сравниваемыми признаковыми полями поступившего из канала связи на анализ пакета Kсовп.iдоп, где i=1, 2, …Ν. Устанавливают число совпадений Kсовп.i=0, кроме того, предварительно запоминают совокупность из N опорных пакетов, содержащих эталоны заданных атак, принимают из канала связи k-й пакет сообщения, где k=1, 2, …, выделяют из его заголовка признаковые поля, сравнивают их значения со значениями признаковых полей опорных N пакетов. По результатам сравнения вычисляют коэффициенты сходства Kcx.i, сравнивают их с предварительно заданным значением Kcx.min. При выполнении условия Kcx.i≥Kcx.min запоминают Kcx.i, соответствующий ему k-й пакет сообщения и увеличивают значение Kсовп.i на единицу. При выполнении условия Kcx.i<Kcx.min, принимают (k+1)-й пакет сообщения. После этого действия, начиная с выделения из заголовка (k+1)-го пакета признаковых полей, повторяют до тех пор, пока не будет выполнено условие Kсовп.i≥Kсовп.iдоп, при выполнении которого делают вывод о наличии i-й атаки. Дополнительно формируют исходный граф сети связи, отражающий топологию и структуру сети связи в виде совокупности из S вершин (узлов маршрутизации) и соединяющих их M ребер (линий связи), создают на каждом узле маршрутизации электронный журнал регистрации обрабатываемого трафика, при прохождении k-го пакета сообщения через узел маршрутизации запоминают в журнале регистрации его заголовок, как минимум включающий адрес источника, адрес получателя сообщения и время прохождения пакета через узел, после установления факта атаки фиксируют в журнале регистрации время ее обнаружения toбн.. Отправляют формализованный запрос на S узлов маршрутизации, производят операцию сравнения на S узлах маршрутизации информации из журналов регистрации с полученным запросом, получают формализованный ответ от S узлов маршрутизации. Строят вариационный ряд времен прохождения пакета с выявленными признаками и соответствующий маршрут прохождения вредоносного трафика, идентифицируют первый узел из вариационного ряда как узел, абонент которого является источником удаленной атаки. Таким образом формируют маршрут прохождения пакета по полученным IP-адресам от источника удаленных атак до атакуемого узла через транзитные узлы сети по соединяющим их ребрам.

Проведенный анализ уровня техники позволил установить, что аналоги, характеризующиеся совокупностью признаков, тождественных всем признакам заявленного способа, отсутствуют, что указывает на соответствие заявленного способа условию патентоспособности "новизна". Результаты поиска известных решений в данной и смежных областях техники с целью выявления признаков, совпадающих с отличительными от прототипа признаками заявленного объекта, показали, что они не следуют явным образом из уровня техники.

Из уровня техники также не выявлена известность влияния предусматриваемых существенными признаками заявленного изобретения преобразований на достижение указанного технического результата. Следовательно, заявленное изобретение соответствует условию патентоспособности "изобретательский уровень".

Заявленный способ поясняется чертежами, на которых показаны:

на фиг. 1 - схема, поясняющая реализацию удаленных атак на автоматизированные системы при их взаимодействии через внешнюю сеть;

на фиг. 2 - обобщенный алгоритм реализации способа обнаружения удаленных атак на автоматизированные системы управления;

на фиг. 3 - схема исходного графа заданной сети связи;

на фиг. 4 - схема построения вариационного ряда времени прохождения вредоносного трафика;

на фиг. 5 - схема графа сети с выявленным маршрутом прохождения вредоносного трафика.

Реализация заявленного способа объясняется следующим образом. Известно, что автоматизированные системы (АС) могут и зачастую подвергаются компьютерным атакам со стороны злоумышленников. Структура пакетов сообщений известна, как известен и принцип передачи пакетов в вычислительных сетях [RFC 791, Internet Protocol, 1981, стр. 11-22]. При прохождении пакетов через сеть общего пользования осуществляется его маршрутизация от источника к получателю в соответствии с IP адресом назначения. Однако для злоумышленника базовый принцип атаки заключается в фальсификации собственных IP-пакетов, в которых изменяется, среди прочего, IP-адрес источника. Результатом атак является блокирование управляющей информации и внедрение ложной информации, нарушение установленных регламентов сбора, обработки и передачи информации в АСУ, отказы, сбои в работе системы, а также компрометация передаваемой (получаемой) информации [Медведовский И.Д. и др. Атака на Internet. - M.: ДМК, 1999. - стр. 78-103].

Для обеспечения информационной безопасности необходимо с высокой вероятностью определять не только факты удаленных атак на АС, но и идентифицировать источники атак и маршруты доставки вредоносного трафика для того, чтобы своевременно осуществить мероприятия защиты и не допустить деструктивных программных воздействий от того же источника.

Реализацию заявленного способа можно пояснить на примере АС, показанной на фиг. 1.

АС в общем случае включает ряд сегментов 1.1 и 1.2, подключенных к внешней сети (сети общего пользования) 2. Каждый сегмент 1 АС представляет собой совокупность из N автоматизированных рабочих мест 1.1.11-1.1.1N соответственно, которые с помощью коммутационного оборудования 1.1.2 и через маршрутизатор 1.1.3 подключены к внешней сети 2. Все перечисленные элементы сегментов объединены физическими линиями связи 1.1.4. Внешняя сеть 2 на фиг. 1 представлена набором узлов маршрутизации 2.11-2.19, объединенных линиями связи 2.2, обеспечивающими транспортировку информационных потоков из одного сегмента АС в другой. Каждый элемент АС имеет идентификатор в виде сетевого IP-адреса.

На фиг. 2 представлена блок-схема последовательности действий, реализующих обобщенный алгоритм обнаружения источника удаленных компьютерных атак на АС.

Предлагаемый алгоритм реализуют следующим образом:

Предварительно формируют исходный граф сети связи (фиг. 3), отражающий топологию и структуру сети связи в виде совокупности из S вершин (узлов маршрутизации) и соединяющих их M ребер (линий связи), пороговые значения показателей: минимально допустимое значение показателя сходства Kcx.min сравниваемых признаковых полей пакетов сообщений, максимально допустимое количество совпадений признаковых полей i-го опорного пакета (эталона) со сравниваемыми признаковыми полями поступившего из канала связи на анализ пакета Kсовп.iдоп, где i=1, 2, …N. Кроме того задают количество N≥1 эталонов возможных атак (бл. 1).

Структура пакетов известна, как известно и признаковое пространство идентифицированных атак, что дает возможность построения априорного признакового пространства системы обнаружения удаленных атак и формирования опорных пакетов.

В начале работы запоминают совокупность из N опорных пакетов, содержащих эталоны заданных атак и устанавливают число совпадений Kcoвп.i=0 (бл. 2). Создают на каждом узле маршрутизации заданной сети электронный журнал регистрации обрабатываемого трафика (бл. 3) и при прохождении k-го пакета сообщения через узел маршрутизации запоминают в журнале регистрации его заголовок (бл. 4), как минимум включающий адрес источника, адрес получателя сообщения и фиксируют время прохождения пакета через узел. Таким образом обеспечивают сбор информации обо всех пакетах данных, проходящих через узел маршрутизации.

Из канала связи принимают k-й пакет сообщения, где k=1, 2, … (бл. 5). После выделения из заголовков k-го и каждого из опорных пакетов признаковых полей их значения сравнивают. Попытка осуществления удаленной атаки характеризуется присутствием в анализируемом пакете сообщений признаков, совпадающих с эталонными значениями признаковых описаний удаленных атак, содержащегося в опорных пакетах, и определяется на основе анализа конкретных полей поступающих пакетов, имеющих известную структуру и бинарный характер.

В результате сравнения вычисляют коэффициенты сходства Kcx.i признаковых полей k-го и каждого из опорных N пакетов. Каждый вычисленный коэффициент сходства Kcx.i сравнивают с предварительно заданным значением Kcx.min (бл. 6) и запоминают его и соответствующий ему k-й пакет при Kcx.i≥Kcx.min. и увеличивают значение Kсовп.i на единицу. При выполнении условия Kcx.i<Kcx.min принимают (k+1)-й пакет сообщения. После этого действия, начиная с выделения из заголовка (k+1)-го пакета признаковых полей, повторяют до тех пор, пока не будет выполнено условие Kсовп.i≥Kсовп.iдоп (бл. 7), при выполнении которого делают вывод о наличии i-й атаки.

После установления факта атаки (бл. 8) фиксируют время ее обнаружения toбн. и отправляют формализованный запрос на все S узлов сети (бл. 9). Формализованный запрос включает информацию об адресе отправителя и получателя сообщения, а также время обнаружения toбн. атаки.

На каждом узле маршрутизации полученный запрос обрабатывают и производят операцию сравнения полученной информации и информации из журналов регистрации (бл. 10-11), после чего отправляют обратно формализованный ответ (бл. 12-13). При совпадении адресной информации, а также выполнении условия, что время регистрации пакета tpeг. с признаками атаки в журнале регистрации было раньше, чем время обнаружения атаки toбн., ответ включает два поля: IP-адрес узла маршрутизации и время tpeг. В случае несовпадения адресной информации или не выполнения условия по времени, ответ включает только одно поле: IP-адрес узла маршрутизации. Получают формализованный ответ и определяют количество полей в ответе (бл. 14), после чего ответы, включающие два поля, обрабатываются, а включающие только одно поле исключаются (бл. 15).

Строится вариационный ряд (фиг. 4) по времени прохождения пакета сообщения с выявленными признаками атаки через узлы маршрутизации (бл. 16). Первый узел маршрутизации из вариационного ряда идентифицируется как узел, абонент которого является источником атаки (бл. 17). Таким образом формируют маршрут прохождения пакета (фиг. 5) по полученным IP-адресам от источника удаленных атак до атакуемого узла через транзитные узлы сети по соединяющим их ребрам (бл. 18).

После этого становится возможным применение различных мероприятий защиты, направленных на обеспечение информационной безопасности функционирования автоматизированной системы управления.

Таким образом, в заявленном способе за счет реализации сбора данных со всех узлов сети с последующей их обработкой обеспечивается определение маршрута следования вредоносного трафика по сети и повышение достоверности идентификации адреса узла маршрутизации, абонентом которого является источник атаки и через который он осуществляет доступ в сеть, чем и обеспечивается достижение технического результата.

Способ обнаружения удаленных атак на автоматизированные системы управления, заключающийся в том, что задают количество N≥1 эталонов возможных атак, минимально допустимое значение показателя сходства сравниваемых признаковых полей пакетов сообщений Kcx.min, максимально допустимое количество совпадений признаковых полей i-гo опорного пакета (эталона) со сравниваемыми признаковыми полями поступившего из канала связи на анализ пакета Ксовп.iдоп, где i=1, 2, …N, устанавливают число совпадений Ксовп.i=0, кроме того, предварительно запоминают совокупность из N опорных пакетов, содержащих эталоны заданных атак, принимают из канала связи k-й пакет сообщения, где k=1, 2, …, выделяют из его заголовка признаковые поля, сравнивают их значения со значениями признаковых полей опорных N пакетов, по результатам сравнения вычисляют коэффициенты сходства Ксх.i, сравнивают их с предварительно заданным значением Kcx.min, при выполнении условия Kcx.i≥Kcx.min запоминают Kcx.i, соответствующий ему k-й пакет сообщения и увеличивают значение Ксовп.i на единицу, при выполнении условия Kcx.i<Kcx.min принимают (k+1)-й пакет сообщения, после этого действия, начиная с выделения из заголовка (k+1)-го пакета признаковых полей, повторяют до тех пор, пока не будет выполнено условие Kсовп.i≥Ксовп.iдоп, при выполнении которого делают вывод о наличии i-й атаки, отличающийся тем, что дополнительно формируют исходный граф сети связи, отражающий топологию и структуру сети связи в виде совокупности из S вершин (узлов маршрутизации) и соединяющих их М ребер (линий связи), создают на каждом узле маршрутизации электронный журнал регистрации обрабатываемого трафика, при прохождении k-го пакета сообщения через узел маршрутизации запоминают в журнале регистрации его заголовок, как минимум включающий адрес источника, адрес получателя сообщения и время прохождения пакета через узел, после установления факта атаки фиксируют в журнале регистрации время ее обнаружения tобн., отправляют формализованный запрос на S узлов маршрутизации, производят операцию сравнения на S узлах маршрутизации информации из журналов регистрации с полученным запросом, получают формализованный ответ от S узлов маршрутизации, строят вариационный ряд времен прохождения пакета с выявленными признаками и соответствующий маршрут прохождения вредоносного трафика, идентифицируют первый узел из вариационного ряда как узел, абонент которого является источником удаленной атаки.



 

Похожие патенты:

Изобретение относится к компьютерной технике. Технический результат – улучшение безопасности процесса начальной загрузки оперативной памяти.

Изобретение относится к области вычислительной техники. Технический результат – повышение надежности и защищенности информации от несанкционированного доступа.

Изобретение относится к электросвязи и может быть использовано в системах защиты от компьютерных атак. Техническим результатом от использования изобретения является повышение защищенности ИВС от компьютерных атак за счет определения маршрутов передачи пакетов сообщений, на которых имеются узлы, подверженные компьютерным атакам, и, соответственно, исключение повторного их использования, а также при увеличении количества узлов сети связи уменьшение времени на обнаружение компьютерной атаки.

Изобретение относится к системе первого веб-сервиса для анонимной авторизации пользователя сервиса, который обладает учетной записью, связанной с системой первого веб-сервиса.

Изобретение относится к технике защиты информации на цифровых накопителях при возникновении опасности ее утечки, при которой осуществляется уничтожение информации как на основании получения сигналов о попытке несанкционированного проникновения, так и по желанию пользователя.

Изобретение относится к области компьютерной безопасности. Технический результат заключается в обеспечении выполнения кода в режиме гипервизора.

Изобретение относится к области защиты данных, а именно к способам защиты данных, вводимых пользователем на устройстве. Технический результат настоящего изобретения заключается в повышении безопасности вводимых данных на устройстве путем использования на устройстве метода ввода, соответствующего требованиям безопасности.

Изобретение относится к вычислительной технике. Технический результат заключается в оптимизации модификации разрешений на доступ к защищенному анклаву памяти.

Изобретение относится к технологиям сетевой связи. Технический результат заключается в повышении безопасности передачи данных.

Изобретение относится к средствам обеспечения компьютерной безопасности. Технический результат заключается в повышении безопасности компьютерных систем.

Группа изобретений относится к вычислительной технике. Техническим результатом является предотвращение несанкционированной модификации стека. Способ содержит этапы, на которых: посредством системы обработки данных сохраняют первый адрес памяти в регистре нижней границы стека, причем регистр нижней границы стека связан с по меньшей мере одним из следующих режимов: 32-битовый пользовательский режим, 64-битовый пользовательский режим или привилегированный режим, первый адрес памяти обозначает нижнюю границу памяти, адресуемой через сегмент стека; сохраняют второй адрес памяти в регистре верхней границы стека, причем регистр верхней границы стека связан с по меньшей мере одним из следующих режимов: 32-битовый пользовательский режим, 64-битовый пользовательский режим или привилегированный режим, второй адрес памяти обозначает верхнюю границу памяти, адресуемой через сегмент стека; определяют обращение к памяти через сегмент стека; и детектируют несанкционированное перемещение стека путем сравнения адреса памяти, к которому обращаются через сегмент стека, по меньшей мере с первым адресом памяти и вторым адресом памяти. 3 н. и 16 з.п. ф-лы, 11 ил.

Изобретение относится к вычислительной технике, а именно к защите от несанкционированного доступа к информации, обрабатываемой и хранимой в информационно-вычислительных системах различного назначения. Технический результат – снижение времени обращения к файлам при контроле прав доступа к ним и соответственно повышение быстродействия информационно-вычислительной системы в целом. Способ контроля доступа к файлам заключается в предварительном (на этапе получения доступа к операционной системе пользователем, после его идентификации) формировании списков файлов, с которыми пользователю разрешено проводить различные действия. При этом для каждого действия формируются свои списки, которые после входа пользователя помещаются в оперативную память, в область, недоступную для несанкционированного доступа. 1 ил.

Изобретение относится к способу и устройству управления разрешениями для объектов. Технический результат заключается в обеспечении управления разрешениями для объектов. В способе выполняют получение первого запроса на первый объект от первого запросчика на выполнение первого действия над первым объектом, требующего первого разрешения, в ответ на первый запрос центральным менеджером разрешений дается первое разрешение на выполнение первого действия первому запросчику, и первый запросчик контролирует первый объект, получение второго запроса на первый объект от второго запросчика на выполнение второго действия над первым объектом, требующего второго разрешения, в ответ на второй запрос осуществляют передачу второго запроса первому запросчику, контролирующему первый объект, и либо, в ответ на то, что первый запросчик дает второе разрешение второму запросчику, разрешают выполнять второму запросчику второе действие, второй запросчик получает контроль над первым объектом, и выполняют завершение первого разрешения и выполнения первого действия первым запросчиком, либо, в ответ на то, что первый запросчик не дает второе разрешение второму запросчику и не позволяет выполнять второе действие вторым запросчиком, первый запросчик продолжает контролировать объект. 2 н. и 13 з.п. ф-лы, 3 ил.

Изобретение относится к электросвязи и может быть использовано в системах защиты от несанкционированных воздействий путем прогнозирования возникновения и устранения уязвимостей при масштабировании и других изменениях информационно-вычислительной сети (ИВС) одновременно с ее функционированием. Технический результат заключается в повышении защиты ИВС с обеспечением структурной надежности ИВС за счет точечного выявления и блокирования элементов сети с нарушениями функциональных возможностей. Способ позволяет сократить время простоя сети и тем самым повысить устойчивость работы ИВС. При этом осуществляют выявление, анализ и оценку уязвимостей ИВС до использования маршрута передачи пакетов в ней, учитывают, как появление новых маршрутов вследствие масштабирования ИВС и других изменений сети, так и количественную оценку ее уязвимости при принятии решения на устранение уязвимости, что позволит уменьшить время на выявление атаки и время принятия решения на локализацию атаки. Вместе с тем уменьшится среднее время выявления и устранения уязвимостей и , отсюда следует, что показатель времени исправной работы ИВС увеличивается. 10 ил.
Изобретение относится к области защиты информации, хранимой в информационных системах персональных данных (ИСПДн), от несанкционированного доступа (НСД) и может быть использовано на стадиях разработки и оптимизации ИСПДн в защищенном исполнении. Техническим результатом является повышение уровня безопасности ИСПДн. Способ обезличивания персональных данных обеспечивает защиту ИСПДн от НСД на стадиях разработки и оптимизации, оперирует персональными данными субъектов, хранящимися и обрабатываемыми в ИСПДн, и осуществляет хеширование ключевых атрибутов по алгоритму Keccak. При этом на первом этапе экспертным путем определяются ключевые атрибуты. На втором этапе исходное множество данных D(d1, d2, ..., dM), где М - число атрибутов, разбивается на два непересекающихся подмножества данных А1 и А2, относящихся к ключевым и неключевым атрибутам соответственно. На третьем этапе производится хеширование данных из А1 для каждого субъекта и вычисляется значение хеш-функции, которое является одним из атрибутов обоих множеств. 1 з.п. ф-лы.

Изобретение относится к области антивредоносных систем, использующих технологию аппаратной виртуализации. Техническим результатом является защита компьютерных систем от вредоносных программ. Раскрыта хостовая система, содержащая по меньшей мере один процессор, конфигурированный с возможностью выполнять: операционную систему, конфигурированную с возможностью выделять секцию виртуализированной физической памяти виртуальной машины целевому программному объекту, выполняемому в виртуальной машине, причем виртуальная машина открыта гипервизором, выполняемым на хостовой системе, при этом виртуализированная физическая память разделена на страницы, причем страница представляет собой наименьшую единицу памяти, индивидуально отображаемой между виртуализированной физической памятью и физической памятью хостовой системы; и модуль подготовки защиты, конфигурированный с возможностью, в ответ на определение того, удовлетворяет ли целевой программный объект критерию выбора для защиты от вредоносных программ, когда целевой программный объект удовлетворяет этому критерию выбора, изменять выделение памяти целевого объекта, при этом изменение выделения памяти включает в себя обеспечение того, что любая страница, содержащая по меньшей мере часть целевого программного объекта, зарезервирована для целевого программного объекта. 3 н. и 26 з.п. ф-лы, 10 ил.

Изобретение относится к вычислительной технике. Технический результат заключается в уничтожении конфиденциальной информации, хранимой в микросхемах памяти электронных приборов с целью ее защиты от несанкционированного доступа. Способ уничтожения конфиденциальной информации, хранимой в микросхемах памяти электронных приборов, в котором используют механический пробойник, с помощью которого осуществляют механическое разрушение не менее одной микросхемы памяти, которую устанавливают на печатную плату со сквозным отверстием внутри корпуса электронного прибора, причем используют внешний механический пробойник для ударного воздействия, который устанавливают в посадочное место, выполненное на наружной поверхности корпуса, при этом ось посадочного места соосна с осью центра микросхемы памяти и центром отверстия печатной платы, а механическое ударное воздействие на кристаллы микросхем памяти осуществляют через стенку корпуса прибора. 3 ил.

Изобретение относится к системе безопасности данных для обеспечения безопасности критических данных системы бортовой авиационной электроники самолета, установленной на борту самолета. Технический результат заключается в повышении защищенности и безопасности самолета. В предложенной системе критические данные хранятся в средстве хранения данных, которое содержит средство управления доступом для управления доступом к указанным данным по меньшей мере для одного пользователя/по меньшей мере одним пользователем, для того чтобы подтвердить или не подтвердить доступ к указанным данным на основе информации, связанной с безопасностью, при этом информация, связанная с безопасностью, выбрана из группы, включающей в себя, в частности: список авторизованных пользователей, которым разрешен доступ к данным; максимальное количество разрешенных доступов к данным, а также типов разрешенных доступов к указанным данным; временное окно, имеющее ограниченную длительность разрешения доступа к указанным данным; последовательности/каскадные соединения, разрешенные при доступе различных пользователей к указанным данным; иерархическую приоритезацию областей, связанных со средством хранения данных. 11 з.п. ф-лы, 1 ил.

Изобретение относится к системе безопасности данных для обеспечения безопасности критических данных системы бортовой авиационной электроники самолета, установленной на борту самолета. Технический результат заключается в повышении защищенности и безопасности самолета. В предложенной системе критические данные хранятся в средстве хранения данных, которое содержит средство управления доступом для управления доступом к указанным данным по меньшей мере для одного пользователя/по меньшей мере одним пользователем, для того чтобы подтвердить или не подтвердить доступ к указанным данным на основе информации, связанной с безопасностью, при этом информация, связанная с безопасностью, выбрана из группы, включающей в себя, в частности: список авторизованных пользователей, которым разрешен доступ к данным; максимальное количество разрешенных доступов к данным, а также типов разрешенных доступов к указанным данным; временное окно, имеющее ограниченную длительность разрешения доступа к указанным данным; последовательности/каскадные соединения, разрешенные при доступе различных пользователей к указанным данным; иерархическую приоритезацию областей, связанных со средством хранения данных. 11 з.п. ф-лы, 1 ил.

Изобретение относится к области электросвязи. Технический результат заключается в повышении достоверности обнаружения источника удаленных компьютерных атак. В способе формируют исходный граф сети связи, отражающий топологию и структуру сети связи, запоминают совокупность из N опорных пакетов, создают на каждом узле маршрутизации заданной сети журнал регистрации обрабатываемого трафика и при прохождении k-го пакета сообщения запоминают в журнале регистрации его заголовок, проверяют поступающие пакеты данных на соответствие заданным правилам и в соответствии с ними делают вывод о наличии атаки, фиксируют время ее обнаружения и отправляют формализованный запрос на все узлы сети, производят операцию сравнения на узлах маршрутизации информации из журналов регистрации с полученным запросом, получают формализованный ответ от узлов маршрутизации, строят вариационный ряд времен прохождения пакета с выявленными признаками атаки и соответствующий маршрут прохождения вредоносного трафика по сети, идентифицируют первый узел из вариационного ряда как узел, абонент которого является источником удаленной атаки. 5 ил.

Наверх