Способ защиты от проводимых одновременно компьютерных атак



Способ защиты от проводимых одновременно компьютерных атак
Способ защиты от проводимых одновременно компьютерных атак
Способ защиты от проводимых одновременно компьютерных атак

Владельцы патента RU 2663473:

Федеральное государственное казенное военное образовательное учреждение высшего образования "Академия Федеральной службы охраны Российской Федерации" (Академия ФСО России) (RU)

Изобретение относится к области вычислительной техники. Техническим результатом является повышение достоверности идентификации информационно-технических воздействий за счет анализа параметров различных видов информационно-технических воздействий, которые поступают как одиночно, так и несколько совместно, что позволяет определять их совокупность. Способ защиты от проводимых совместно компьютерных атак заключается в том, что обрабатывают на сенсорах все запросы к сервису с дальнейшим агрегированием полученной информации, обновляют правила фильтрации на коллекторах, используя полученную от сенсоров информацию, фильтруют трафик на центрах очистки по заданным правилам фильтрации, при этом формируют структуру узла связи, формируют направление связи и фрагмент внешней сети, генерирующий информационно-технические воздействия, затем формируют множество информационно-технических воздействий, после ввода заданных правил фильтрации имитируют поступление информационно-технических воздействий на узел сети связи, при этом постепенно увеличивают их интенсивность от минимального количества к максимальному, измеряют и запоминают значения интенсивности воздействия, при которой система защиты информации начинает реагировать на информационно-технические воздействия, и далее в процессе имитации поступления информационно-технических воздействий формируют множество правил фильтрации, которые соответствуют определенным информационно-техническим воздействиям, вводят полученное множество правил фильтрации в реальную систему, затем фильтруют трафик на центрах очистки, используя правила, скорректированные по множеству правил фильтрации. 2 ил.

 

Изобретение относится к области вычислительной техники и может использоваться для обнаружения информационно-технических воздействий как одиночных, так и проводимых совместно.

Толкование используемых терминов:

информационно-телекоммуникационная сеть связи - совокупность информационно-вычислительных систем, объединенных системой передачи данных [Центр стратегических оценок и прогнозов. Информационная война и защита информации. Словарь основных терминов и определений, www.csef.ru, Москва, 2011, стр. 25].

В качестве элементов сети связи рассматриваются узлы и каналы (линии) связи [Ермишян А.Г., Теоретические основы построения систем военной связи в объединениях и соединениях: Учебник. Часть 1. Методологические основы построения организационно-технических систем военной связи. СПб.: ВАС, 2005. 740 с.].

Под информационно-техническими воздействиями понимается применение способов и средств информационного воздействия на информационно-технические объекты, на технику и вооружение в интересах достижения поставленных целей [Центр стратегических оценок и прогнозов. Информационная война и защита информации. Словарь основных терминов и определений www.csef.ru Москва, 2011, стр. 25].

Известен «Способ обеспечения устойчивого функционирования системы связи» (патент RU №2405184, G05B 23/00, G06F 17/50, опубл. 27.11.2010 г., Бюллетень №33), заключающийся в том, что систему связи разворачивают в рабочее состояние, фиксируют дестабилизирующие воздействия на ее структурные элементы, формируют имитационную модель сети связи, моделируют процесса функционирования системы связи при воздействиях, проводят упреждающую реконфигурацию функционирующей системы связи.

Недостатком данного способа является низкая достоверность идентификации информационно-технических воздействий, обусловленная отсутствием фиксации и определения двух и более совместно возникающих информационно-технических воздействий на узле связи.

Известен «Способ мониторинга безопасности автоматизированных систем» (патент РФ №2355024, G06F 15/00, G06F 17/00, опубл. 10.05.2009 г. Бюллетень №13). Способ заключается в том, что для мониторинга безопасности автоматизированных систем предварительно задают множество контролируемых параметров, характеризующих безопасность автоматизированной системы, и их эталонных значений. Затем выполняют цикл измерений значений контролируемых параметров и сравнения их с эталонными значениями, при их несовпадении формируют сигнал тревоги о выходе контролируемых параметров в группе за пределы допустимых значений, после чего блокируют работу элементов автоматизированной системы и формируют отчет о состоянии автоматизированной системы.

Недостатком данного способа является низкая достоверность идентификации информационно-технических воздействий, обусловленная отсутствием фиксации и определения двух и более совместно возникающих информационно-технических воздействий на узле связи.

Наиболее близким по технической сущности и выполняемым функциям аналогом (прототипом) к заявленному является система и способ уменьшения ложных срабатываний при определении сетевой атаки (патент РФ №2480937, H04L 29/06, G06F 15/16, G06F 21/30, опубл. 27.04.2013 г. Бюлл. №12), заключающийся в том, что перенаправляют трафик к сервису на сенсоры и центры очистки, обрабатывают на сенсорах все запросы к сервису с дальнейшим агрегированием полученной информации, обновляют правила фильтрации на коллекторах, используя полученную от сенсоров информацию, корректируют обновленные правила фильтрации с помощью управляющего модуля на основании статистики предыдущих сетевых атак, фильтруют трафик на центрах очистки, используя заданные правила фильтрации, при этом центры очистки подключены к магистральным каналам связи по каналам с высокой пропускной способностью.

Недостатком способа-прототипа является низкая достоверность идентификации информационно-технических воздействий, обусловленная отсутствием фиксации и определения двух и более совместно возникающих информационно-технических воздействий на узле связи.

Задачей изобретения является создание способа защиты от проводимых совместно компьютерных атак. Техническим результатом изобретения является повышение достоверности идентификации информационно-технических воздействий за счет анализа параметров различных видов информационно-технических воздействий, которые поступают как одиночно, так и несколько совместно, что позволяет определять их совокупность.

Задача изобретения решается тем, что в способе защиты от проводимых совместно компьютерных атак выполняется следующая последовательность действий.

Обрабатывают на сенсорах все запросы к сервису с дальнейшим агрегированием полученной информации, обновляют правила фильтрации на коллекторах, используя полученную от сенсоров информацию, фильтруют трафик на центрах очистки, по заданным правилам фильтрации.

Согласно изобретению дополнительно формируют структуру узла связи, формируют направление связи и фрагмент внешней сети, генерирующий информационно-технические воздействия, затем формируют множество информационно-технических воздействий. После ввода заданных правил фильтрации имитируют поступление информационно-технических воздействий на узел сети связи, при этом постепенно увеличивают их интенсивность от минимального количества к максимальному. Измеряют и запоминают значения интенсивности воздействия, при которой система защиты информации начинает реагировать на информационно-технические воздействия, и далее в процессе имитации поступления информационно-технических воздействий формируют множество правил фильтрации, которые соответствуют определенным информационно-техническим воздействиям. Вводят полученное множество правил фильтрации в реальную систему. Затем фильтруют трафик на центрах очистки, используя правила, скорректированные по множеству правил фильтрации.

Результаты поиска известных решений в данной и смежной областях техники с целью выявления признаков, совпадающих с отличительными от прототипов признаками заявленного изобретения, показали, что они не следуют явным образом из уровня техники. Из определенного заявителем уровня техники не выявлена известность влияния предусматриваемых существенными признаками заявленного изобретения на достижение указанного технического результата. Следовательно, заявленное изобретение соответствует условию патентоспособности "изобретательский уровень".

Заявленный способ поясняется чертежами, на которых показаны:

фиг. 1 - блок-схема способа защиты от проводимых совместно компьютерных атак;

фиг. 2 - схема реализации способа защиты от проводимых совместно компьютерных атак.

Заявленный способ поясняется блок-схемой способа защиты от проводимых совместно компьютерных атак (фиг. 1), где в блоке 1 осуществляют задание исходных данных. Исходными данными являются:

- счетчик k=1 - количество совместно имитируемых ИТВ;

- n - количество заданных ИТВ.

В блоке 2 формируют узел связи включающий сетевое оборудование и систему защиты информации (СЗИ) (фиг. 2) [Климов С.М., Сычев М.П. и др. Экспериментальная оценка противодействия компьютерным атакам на стендовом полигоне. Электронное учебное издание / Москва.: ФГБОУ ВО «Московский государственный технический университет им. Н.Э. Баумана», 2013. - 114 с.].

В качестве узла связи №2 будем понимать персональный компьютер оконечного пользователя (ПК 3, фиг. 2) и коммутационное оборудование, подключенное к нему (маршрутизатор 4, фиг. 2) [процесс настройки маршрутизатора: Базовая настройка маршрутизатора Использование Cisco Configuration Professional. Электронный ресурс: http://www.cisco.com/cisco/web/support/RU/108/1089/1089854_basic-router-config-ccp-00.pdf]. В качестве СЗИ используется межсетевой экран (МЭ, фиг. 2) [процесс настройки межсетевого экрана: Киберсейф межсетевой экран для Windows. Руководство пользователя http://cybersafesoft.com/cs-firewall.pdf].

В блоке 3 создают направление связи и фрагмент внешней сети моделирующей ИТВ.

В качестве направления связи понимается узел связи и фрагмента Единой сети электросвязи (ЕСЭ) (фиг. 2).

В качестве фрагмента ЕСЭ будем понимать коммутационное оборудование (маршрутизатор 2, фиг. 2) имитирующее ЕСЭ [процесс настройки маршрутизатора: Базовая настройка маршрутизатора Использование Cisco Configuration Professional. Электронный ресурс: http://www.cisco.com/cisco/web/support/RU/108/1089/1089854_basic-router-config-ccp-00.pdf] и управляемое персональным компьютером (ПК 2, фиг. 2).

В качестве фрагмента внешней сети понимается botnet сеть, имитирующая ИТВ и состоящая из коммутационного оборудования (маршрутизатор 3, фиг. 2) [процесс настройки маршрутизатора: Базовая настройка маршрутизатора Использование Cisco Configuration Professional. Электронный ресурс: http://www.cisco.com/cisco/web/support/RU/108/1089/1089854_basic-router-config-ccp-00.pdf] и подключенную к нему группу ПК (фиг. 2) осуществляющую имитацию ИТВ на узел связи №2.

В блоке 4 формируют множество ИТВ.

При формировании данного множества учитывают множество современных ИТВ, например такие воздействия как:

1) отказ в обслуживании [Котенко И.В., Уланов А.В. Многоагентное моделирование распределенных атак «отказ в обслуживании» и механизмов защиты от них / Труды СПИИРАН т. 1, №3 2006 г.];

2) атака посредника или атака «человек по середине» (англ. Man in the middle (MITM)) [Варламов O.O. "О системном подходе к созданию модели компьютерных угроз и ее роли в обеспечении безопасности информации в ключевых системах информационной инфраструктуры" Известия ТРТУ / Тематический выпуск // №7 / том 62 / 2006 г. С. 218];

3) сканирование портов [Различные приемы сканирования портов https://nmap.org/man/ru/man-port-scanning-techniques.html; 7 онлайн сканеров для поиска открытых портов на сервере https://habrahabr.ru/company/hosting-cafe/blog/281943/1;

4) SQL - инъекции [SQL-инъекции http://www.cyberguru.ru/database/sql/sql-injections.html?showall=1; SQL injection для начинающих. Часть 1 https://habrahabr.ru/post/148151/1.

В блоке 5 водят заданные правила фильтрации. Формируют начальные правила, используемые в реальной СЗИ (МЭ), сформированные и заданные, как в способе-прототипе.

В блоке 6 имитируют поступление ИТВ на узел связи.

На первоначальном этапе осуществляется последовательная имитация единичных ИТВ на узел связи. Затем осуществляется совместная имитация ИТВ в количестве k (во всех возможных комбинациях) до достижения счетчиком k значения k>n.

В блоке 7 все ИТВ начинаются с минимального значения интенсивности воздействия, затем интенсивность ИТВ постепенно увеличивается от минимального количества к максимальному. При достижении интенсивности воздействия, при которой СЗИ начинает реагировать на ИТВ, в блоке 8 фиксируют и сохраняют полученные значения интенсивности ИТВ.

В блоке 9 осуществляют проверку количества совместно имитируемых ИТВ. В случае совместной имитации нескольких ИТВ переходят к блоку 11, в противном случае переходят к блоку 10 и формируют правила фильтрации для ИТВ, имитируемого в данный момент. После чего переходят к блоку 6 и имитируют поступление следующего ИТВ на узел связи.

В блоке 11 Рассчитывают количество всех возможных комбинаций ИТВ совместно воздействующих на узел связи. При этом количество комбинаций будет изменяться в зависимости от количества совместно воздействующих ИТВ на узел связи. Расчет всех возможных комбинаций при заданном количестве ИТВ является известной задачей и представлен в [Н.Я. Виленкин «Комбинаторика», М.: Наука. Гл. ред. физ. - мат. лит., 1969. - 323 с.]

другими словами находится сочетание из n элементов по m.

В блоке 12 формируют правила фильтрации для имитируемых в текущий момент времени ИТВ.

В блоке 13 счетчик k увеличивают на единицу и переходят к блоку 14, где осуществляется проверка выполнения условия k>n. В случае выполнения условия переходят к блоку 15, в противном случае переходят к блоку 6 и имитируют совместное поступление ИТВ на узел связи в количестве равном значению счетчика k.

В блоке 15 на основе сформированных правил фильтрации при имитации одиночных и нескольких ИТВ проводимых совместно, формируют множество правил фильтрации, которые в блоке 16 дополнительно вводятся в реально функционирующую систему.

В блоке 17 на сенсорах осуществляют обработку всех запросов к сервису с дальнейшим агрегированием полученной информации.

В блоке 18 осуществляют фильтрацию трафика, используя заданные правила.

Расчет эффективности заявленного способа проводился согласно коэффициента несоответствия Тэйла осуществлялась оценка точности прогноза выполненного по построенной модели [Е.Ю. Пискунов «Модификация коэффициента Тэйла». Электронный журнал «Известия Иркутской государственной экономической академии» №5, 2012 г.].

где Pt и At - соответственно предсказанное и фактическое (реализованное) изменение переменной. Коэффициент υ=0, когда все Pt=At (случай совершенного прогнозирования); υ=1, когда процесс прогнозирования приводит к той же среднеквадратической ошибке, что и «наивная» экстраполяция неизменности приростов; υ>1, когда прогноз дает худшие результаты, чем предположение о неизменности исследуемого явления.

Достоинством коэффициента Тэйла является возможность использования при сопоставлении качества прогнозов, получаемых на основе различных методов и моделей.

Способ-прототип предполагает одновременное воздействие одного вида ИТВ, таким образом, предсказанные значения будут соответствовать фактическим только в этом случае и значение коэффициента υ будет меньше единицы и стремиться к нулю. Однако при совместном воздействии нескольких ИТВ предсказанные значения не будут соответствовать фактическим значениям и значение коэффициента υ будет превышать единицу, что говорит о высокой степени неточности выполненного прогноза.

В предлагаемом способе проводится совместная имитация нескольких видов ИТВ, что позволяет повысить степень соответствия предсказанных значений фактическим. Таким образом, в отличие от способа-прототипа в предлагаемом способе значение коэффициента υ будет меньше единицы и стремиться к нулю в случае как одиночных, так и совместных множественных воздействии ИТВ.

На основании этого следует вывод, что заявленный способ защиты от проводимых совместно компьютерных атак повышает достоверность идентификации информационно-технических воздействий за счет анализа параметров различных видов информационно-технических воздействий, которые поступают как одиночно, так и несколько совместно, что позволяет определять их совокупность.

Способ защиты от проводимых совместно компьютерных атак заключается в том, что обрабатывают на сенсорах все запросы к сервису с дальнейшим агрегированием полученной информации, обновляют правила фильтрации на коллекторах, используя полученную от сенсоров информацию, фильтруют трафик на центрах очистки по заданным правилам фильтрации, отличающийся тем, что формируют структуру узла связи, формируют направление связи и фрагмент внешней сети, генерирующий информационно-технические воздействия, затем формируют множество информационно-технических воздействий, после ввода заданных правил фильтрации имитируют поступление информационно-технических воздействий на узел сети связи, при этом постепенно увеличивают их интенсивность от минимального количества к максимальному, измеряют и запоминают значения интенсивности воздействия, при которой система защиты информации начинает реагировать на информационно-технические воздействия, и далее в процессе имитации поступления информационно-технических воздействий формируют множество правил фильтрации, которые соответствуют определенным информационно-техническим воздействиям, вводят полученное множество правил фильтрации в реальную систему, затем фильтруют трафик на центрах очистки, используя правила, скорректированные по множеству правил фильтрации.



 

Похожие патенты:

Изобретение относится к электросвязи и может быть использовано для формирования импульсной характеристики нестационарного канала связи. Технический результат заключается в снижении погрешности оценки импульсной характеристики нестационарного канала связи.

Изобретение относится к области беспроводной связи. Технический результат изобретения заключается в эффективном обмене идентифицирующей информацией, которая используется для обнаружения устройств в беспроводной сети.

Изобретение относится к беспроводной связи. Технический результат заключается в уменьшении задержки доступа при осуществлении пользовательским оборудованием (UE) доступа к области CS сети 2G или 3G, а также уменьшении продолжительности всего речевого вызова.

Изобретение относится к устройству доставки видеосигналов в телевизионную приставку (OTT-V) с предоставлением информации о требуемом качестве сети. Технический результат заключается в обеспечении возможности позволять, когда части содержания с одним и тем же содержанием подают по множеству путей доставки, предоставлять приемнику части общей информации о требуемом сетевом качестве соответствующих путей доставки.

Изобретение относится к устройству серверного узла для приема входных данных от множества устройств ввода, например видеокамер. Технический результат заключается в снижении требований к вычислительной мощности устройств воспроизведения контента данных, принятого ими от устройства серверного узла.

Изобретение относится к вычислительной технике. Технический результат заключается в предотвращении подслушивания прямых линий связи между устройствами.

Изобретение относится к области беспроводной связи. Технический результат изобретения заключается в исключении атаки повторного воспроизведения.

Группа изобретений относится к средствам для отправки сообщения пользователю устройства. Технический результат – обеспечение возможности своевременного уведомления пользователя о приеме нового сообщения.

Изобретение относится к системам и способам обеспечения безопасности компьютерных систем и более конкретно к системам и способам проверки защищенных веб-ресурсов на наличие вредоносных, потенциально опасных и нежелательных вставок.

Группа изобретений относится к средствам управления оборудованием пользователя (UE). Технический результат – исключение ошибочных соединений с общедоступной сетью во время перемещения пользователя в высокоскоростном транспортном средстве, имеющем свою собственную сеть связи.

Изобретение относится к области аутентификации. Технический результат заключается в повышении безопасности связи.

Изобретение относится к технологиям сетевой связи. Технический результат заключается в повышении скорости передачи данных.

Изобретение относится к технологиям сетевой связи. Технический результат заключается в повышении безопасности хранения данных.

Изобретение относится к технологиям сетевой связи. Технический результат заключается в повышении скорости переадресации канала связи.

Изобретение относится к области радиосвязи и может быть использовано в телекоммуникационных радиоэлектронных системах с широкополосными сигналами. Технический результат заключается в повышении точности оценки помехоустойчивости системы.

Изобретение относится к области информационных технологий, а именно к области передачи данных в цифровых сетях передачи данных. Предназначено для создания коммуникаций между устройствами автоматизации, облачными шлюзами и программными средствами для настройки и передачи информации между участниками сети, объединенных общим протоколом.

Изобретение относится к области радиосвязи и может быть использовано в телекоммуникационных радиоэлектронных системах с широкополосными сигналами. Технический результат заключается в повышении точности оценки части полосы частот, поражаемой преднамеренной помехой, точности оценки устойчивости системы связи к воздействию преднамеренных помех.

Изобретение относится к средствам загрузки правил на мобильное устройство пользователя. Технический результат заключается в снижении нагрузки на ресурсы мобильного устройства в процессе загрузки правил фильтрации.

Изобретение относится к разделу информационных технологий и связи, а именно к доставке видео контента до пользователей в сети передачи данных. Технический результат – повышение защиты от нелегального распространения контента в сети передачи данных.

Изобретение относится к реализации сети удаленных терминалов. Технический результат – предоставление возможности оператору обмениваться данными с любыми технологическими установками автоматизированной системы управления, связанной с удаленными терминалами в сети, с помощью отдельного удаленного терминала сети.

Изобретение касается способа и устройства для установления соединения для услуги и относится к области техники связи. Технический результат – возможность предоставления другой услуги для пользователя, если уже имеется установление соединения для имеющейся услуги.

Изобретение относится к области вычислительной техники. Техническим результатом является повышение достоверности идентификации информационно-технических воздействий за счет анализа параметров различных видов информационно-технических воздействий, которые поступают как одиночно, так и несколько совместно, что позволяет определять их совокупность. Способ защиты от проводимых совместно компьютерных атак заключается в том, что обрабатывают на сенсорах все запросы к сервису с дальнейшим агрегированием полученной информации, обновляют правила фильтрации на коллекторах, используя полученную от сенсоров информацию, фильтруют трафик на центрах очистки по заданным правилам фильтрации, при этом формируют структуру узла связи, формируют направление связи и фрагмент внешней сети, генерирующий информационно-технические воздействия, затем формируют множество информационно-технических воздействий, после ввода заданных правил фильтрации имитируют поступление информационно-технических воздействий на узел сети связи, при этом постепенно увеличивают их интенсивность от минимального количества к максимальному, измеряют и запоминают значения интенсивности воздействия, при которой система защиты информации начинает реагировать на информационно-технические воздействия, и далее в процессе имитации поступления информационно-технических воздействий формируют множество правил фильтрации, которые соответствуют определенным информационно-техническим воздействиям, вводят полученное множество правил фильтрации в реальную систему, затем фильтруют трафик на центрах очистки, используя правила, скорректированные по множеству правил фильтрации. 2 ил.

Наверх