Способ защиты вычислительных сетей



Способ защиты вычислительных сетей
Способ защиты вычислительных сетей
Способ защиты вычислительных сетей
Способ защиты вычислительных сетей
Способ защиты вычислительных сетей
Способ защиты вычислительных сетей
Способ защиты вычислительных сетей

Владельцы патента RU 2680038:

Федеральное государственное казенное военное образовательное учреждение высшего образования "Краснодарское высшее военное училище имени генерала армии С.М. Штеменко" Министерство обороны Российской Федерации (RU)

Изобретение относится к вычислительной технике. Техническим результатом является повышение результативности защиты и введение в заблуждение нарушителя относительно структуры вычислительной сети за счет снижения вероятности обнаружения нарушителем факта использования средств защиты и идентификации их характеристик, достигаемых путем разделения адресного пространства вычислительной сети на области, обеспечивающие реалистичность функционирования защищаемой вычислительной сети, а также путем формирования множества случайных значений MAC-адресов, соответствующих ложным узлам вычислительной сети. Способ защиты вычислительных сетей, предназначенный для использования в системах обнаружения атак с целью оперативного выявления и противодействия несанкционированным воздействиям в вычислительных сетях, основанных на семействе коммуникационных протоколов TCP/IP, заключающийся в том, что устраняют демаскирующие признаки средств защиты вычислительных сетей: активность любого IP-адреса из диапазона IP-адресов вычислительной сети, а также использование единственного и неизменяемого значения (00:00:0F:FF:FF:FF)16 MAC-адреса независимо от реального адреса сетевого адаптера при ответах на ARP-запросы к i-му неиспользуемому IP-адресу сетевого устройства вычислительной сети. 1 з.п. ф-лы, 6 ил.

 

Изобретение относится к электросвязи и может быть использовано в системах обнаружения атак с целью оперативного выявления и противодействия несанкционированным воздействиям в вычислительных сетях, в частности, в сети передачи данных типа «Internet», основанных на семействе коммуникационных протоколов TCP/IP (Transmission Control Protocol / Internet Protocol) и описанных в книге Олифер В., Олифер Н. Компьютерные Сети. Принципы, технологии, протоколы: Учебник для вузов. 5-е изд. - СПб.: Питер, 2016. - 992 с.: ил.

Известен «Способ защиты вычислительной сети» по патенту РФ №2422892, класс G06F 21/20 (2006.01), заявл. 13.04.2010. Известный способ включает следующую последовательность действий. Устанавливают в каналах связи защищаемой вычислительной сети шлюз-компьютер с межсетевым экраном. Формируют базу параметров легитимных пакетов и блокируют поступающие из открытой сети пакеты на период установления легитимности. Запоминают адрес получателя, анализируют поступающие из открытой сети пакеты, для чего сравнивают их параметры с заранее сформированной базой параметров легитимных пакетов. После завершения анализа формируют ICMP квитанцию, в которой адрес отправителя заменяют на ранее запомненный адрес получателя. Отправляют ее нелегитимному отправителю.

Недостатком данного способа является относительно низкая защищенность от несанкционированных воздействий, признаками наличия которых являются несанкционированные информационные потоки (ИП). Это обусловлено тем, что при определении факта наличия несанкционированного ИП в вычислительных сетях блокируется передача пакета сообщений, что является недостаточным для защиты вычислительных сетей от несанкционированных воздействий. Реализация указанного подхода к защите вынуждает нарушителя далее воздействовать на вычислительные сети и (или) менять стратегию воздействия.

Известен «Способ (варианты) защиты вычислительных сетей» по патенту РФ №2307392, класс G06F 21/00, опубл. 27.09.2007. Известный способ включает следующую последовательность действий. Предварительно задают N≥1 опорных идентификаторов санкционированных ИП, содержащих адреса отправителей и получателей пакетов сообщений, принимают из канала связи пакет сообщений, выделяют из заголовка принятого пакета сообщений идентификатор ИП, сравнивают выделенный идентификатор с предварительно заданными опорными идентификаторами санкционированных ИП и при их совпадении передают пакет сообщений получателю, а при их несовпадении сравнивают адрес отправителя, указанный в идентификаторе принятого пакета сообщений с адресами отправителей, указанными в опорных идентификаторах санкционированных ИП, задают Р≥1 ложных адресов абонентов вычислительной сети и время задержки отправки пакетов сообщений tзад. В случае совпадения адреса отправителя в принятом пакете сообщений с одним из адресов отправителей опорных идентификаторов санкционированных ИП сравнивают адрес получателя в принятом пакете сообщений с адресами получателей опорных идентификаторов санкционированных ИП. При несовпадении адреса получателя в принятом пакете сообщений с адресами получателей опорных идентификаторов санкционированных ИП дополнительно сравнивают адрес получателя в принятом пакете сообщений с предварительно заданными ложными адресами абонентов вычислительной сети. В случае несовпадения адреса получателя в принятом пакете сообщений с предварительно заданными ложными адресами абонентов блокируют передачу пакета сообщений. А при несовпадении адреса отправителя в принятом пакете сообщений с одним из адресов отправителей опорных идентификаторов санкционированных ИП или совпадении адреса получателя в принятом пакете сообщений с адресами получателей опорных идентификаторов санкционированных ИП, или его совпадении с предварительно заданными ложными адресами абонентов вычислительной сети формируют ответный пакет сообщений, а затем, через заданное время задержки отправки пакетов сообщений tзад снижают скорость передачи сформированного пакета сообщений. Передают его отправителю, после чего принимают из канала связи очередной пакет сообщений. Для идентификации протокола взаимодействия выделяют идентификатор типа протокола взаимодействия и сравнивают его с эталонами идентификаторов типа протокола взаимодействия. Для снижения скорости передачи сформированного пакета сообщений фрагментируют пакет сообщений, передают пакет сообщений через заданное время задержки отправки пакетов сообщений tзад.

Недостатками данного способа являются относительно низкая результативность защиты вычислительных сетей и узкая область применения способа защиты. Низкая результативность защиты обусловлена тем, что в прототипе увеличение интенсивности несанкционированных информационных потоков и сохранение заданного времени задержки отправки ответных пакетов сообщений отправителю приведет к перегрузке вычислительной сети. Узкая область применения обусловлена тем, что для реализации способа защиты скорость информационного обмена с отправителем несанкционированных информационных потоков снижают только со стороны вычислительной сети, то есть в одностороннем порядке, и не учитывают возможность отправителя разорвать соединение.

Наиболее близким по своей технической сущности к заявленному, является способ защиты вычислительных сетей, описанный, например, в книге Grimes, R.A. Honeypots for Windows // Apress. 2005. 424 p. на стр. 191-192. Известный способ включает следующую последовательность действий. Подключают сетевые устройства к вычислительной сети. После приема ARP-запросов (от англ. Address Resolution Protocol - протокол определения адреса) к i-ому неиспользуемому IP-адресу сетевого устройства вычислительной сети формируют ответный пакет сообщений с единственным и неизменяемым значением (00:00:0F:FF:FF:FF)16 (в шестнадцатеричной системе счисления) MAC-адреса (от англ. Media Access Control - управление доступом к среде). Затем записывают в поле «размер окна» TCP-заголовка ответного пакета сообщений значение Wнач равное 10 байт и принимают очередной пакет сообщений. Формируют ответный пакет сообщений и устанавливают в поле «размер окна» TCP-заголовка ответного пакета сообщений значение Wуд равное 0 байт. После этого направляют отправителю сформированные ответные пакеты сообщений, а для блокирования попыток разорвать соединение со стороны отправителя пакетов сообщений игнорируют все входящие пакеты сообщений до истечения тайм-аута соединения.

Известный способ-прототип обеспечивает более высокую защищенность вычислительных сетей от несанкционированных воздействий по сравнению с аналогами за счет введения в заблуждение нарушителя относительно структуры вычислительных сетей путем имитации доступности всего массива IP-адресов вычислительной сети, обеспечивая тем самым максимальную вероятность перенаправления нарушителя на ресурс-ловушку, и за счет удержания в двухстороннем порядке соединения с отправителем пакетов сообщений, обеспечивая тем самым увеличение дискомфорта у нарушителя и выигрыш по времени, необходимый для реализации ответных мер.

Недостатком способа-прототипа является относительно низкая результативность защиты, обусловленная высокой вероятностью обнаружения нарушителем факта использования средств защиты вычислительной сети и идентификации их характеристик. Это связано с тем, что в прототипе, при обращении к любому IP-адресу из диапазона IP-адресов вычислительной сети, нарушитель всегда получает ответ о доступности IP-адреса, что демаскирует наличие и возможности средств защиты. Кроме того, при ответах на ARP-запросы к i-ому неиспользуемому IP-адресу сетевого устройства вычислительной сети в прототипе используют единственное и неизменяемое значение (00:00:0F:FF:FF:FF)16 (в шестнадцатеричной системе счисления) MAC-адреса независимо от реального адреса сетевого адаптера, что позволяет злоумышленнику идентифицировать ложные узлы путем изучения адресов канального уровня.

Целью заявленного технического решения является разработка способа защиты вычислительных сетей, обеспечивающего повышение результативности защиты и введение в заблуждение нарушителя относительно структуры вычислительной сети, за счет снижения вероятности обнаружения нарушителем факта использования средств защиты и идентификации их характеристик, достигаемых путем разделения адресного пространства вычислительной сети на области, обеспечивающие реалистичность функционирования защищаемой вычислительной сети, а также путем формирования множества случайных значений MAC-адресов, соответствующих ложным узлам вычислительной сети.

Поставленная цель достигается тем, что в известном способе защиты вычислительных сетей подключают сетевые устройства к вычислительной сети и после приема ARP-запросов к i-ому неиспользуемому IP-адресу сетевого устройства вычислительной сети формируют ответный пакет сообщений. Затем записывают в поле «размер окна» TCP-заголовка ответного пакета сообщений значение Wнач равное 10 байт. После этого принимают очередной пакет сообщений и формируют ответный пакет сообщений. Далее устанавливают в поле «размер окна» TCP-заголовка ответного пакета сообщений значение Wуд равное 0 байт и направляют отправителю сформированные ответные пакеты сообщений. Для блокирования попыток разорвать соединение со стороны отправителя пакетов сообщений игнорируют все входящие пакеты сообщений до истечения тайм-аута соединения. В предварительно заданные исходные данные дополнительно задают множество {MIP} всех i IP-адресов сетевых устройств вычислительной сети, где i=1, 2, …, n, а n - максимально допустимое значение диапазона IP-адресов для вычислительной сети, множество {AIP} разрешенных для использования в вычислительной сети IP-адресов сетевых устройств, где {AIP}∈{MIP}, множество {DIP} запрещенных для использования в вычислительной сети IP-адресов сетевых устройств, где {DIP}={MIP\AIP}={DIP∈MIP∧DIP∉AIP}, множество {UIP} разрешенных и временно неподключенных IP-адресов сетевых устройств в вычислительной сети из множества {AIP} и множество {RIP} разрешенных и подключенных IP-адресов сетевых устройств в вычислительной сети из множества {AIP}, где {UIP}={AIP\RIP}={UIP∈AIP∧UIP∉RIP} и {RIP}={AIP\UIP}={RIP∈AIP∧RIP∉UIP}. Затем предварительно задают массив памяти SMAC для хранения считанных MAC-адресов сетевых устройств в вычислительной сети, массив памяти GMAC для хранения сформированных МАС-адресов и массив памяти AG для хранения матрицы соответствия i-му разрешенному для использования в вычислительной сети IP-адресу сетевого устройства из множества {AIP} j-го сформированного MAC-адреса из массива памяти GMAC. После подключения сетевых устройств к вычислительной сети запоминают IP-адреса временно неподключенных сетевых устройств в множество {UIP}. Считывают MAC-адреса подключенных сетевых устройств вычислительной сети и запоминают их в массиве памяти SMAC. Затем генерируют случайную последовательность шестнадцатеричных чисел и формируют из нее J значений, где J=1, 2, …, j, МАС-адресов временно неподключенных сетевых устройств вычислительной сети. После этого запоминают сформированные J значений MAC-адресов временно неподключенных сетевых устройств вычислительной сети в массиве памяти GMAC и сравнивают сформированные J значений MAC-адресов временно неподключенных сетевых устройств вычислительной сети из массива памяти GMAC с MAC-адресами временно неподключенных сетевых устройств вычислительной сети из массива памяти SMAC. По результатам сравнения, в случае их совпадения, j-й MAC-адрес удаляют из массива памяти GMAC, а в противном случае, то есть при их несовпадении, запоминают в массиве памяти AG соответствие i-му разрешенному для использования в вычислительной сети IP-адресу сетевого устройства из множества {AIP} j-го сформированного MAC-адреса из массива памяти GMAC. После этого принимают ARP-запрос к любому i-му IP-адресу сетевого устройства из множества {MIP} и сравнивают IP-адрес получателя ARP-запроса с IP-адресами сетевых устройств из множества {DIP} запрещенных для использования в вычислительной сети IP-адресов сетевых устройств. По результатам сравнения, в случае совпадения IP-адреса получателя ARP-запроса с IP-адресами из множества {DIP} запрещенных для использования в вычислительной сети IP-адресов сетевых устройств, игнорируют ARP-запрос. В противном случае, то есть при несовпадении IP-адреса получателя ARP-запроса с IP-адресами из множества {DIP}, сравнивают IP-адрес получателя ARP-запроса с IP-адресами сетевых устройств из множества {RIP} разрешенных и подключенных IP-адресов сетевых устройств, и по результатам сравнения в случае совпадения IP-адреса получателя ARP-запроса с IP-адресами из множества {RIP} разрешенных и подключенных IP-адресов формируют сообщение о доступности узла получателя пакетов сообщений. В противном случае, то есть при несовпадении IP-адреса получателя ARP-запроса с IP-адресами из множества {RIP}, сравнивают IP-адрес получателя ARP-запроса с IP-адресами сетевых устройств из множества {UIP} временно неподключенных IP-адресов, и по результатам сравнения в случае несовпадения IP-адреса получателя ARP-запроса с IP-адресами из множества {UIP} временно неподключенных IP-адресов формируют сообщение о доступности узла получателя пакетов сообщений. В противном случае, то есть при совпадении IP-адреса получателя ARP-запроса с IP-адресами из множества {UIP}, после формирования ответного пакета сообщений и записывания в поле «размер окна» TCP-заголовка ответного пакета сообщений значения Wнач равное 10 байт, записывают в заголовок ответного пакета j-й сгенерированный MAC-адрес для i-го IP-адреса из массива памяти GMAC. После этого направляют отправителю ответный пакет сообщений со значением j-го сгенерированного MAC-адреса для i-го IP-адреса из массива памяти GMAC.

Запоминание в массиве памяти AG соответствия i-му разрешенному для использования в вычислительной сети IP-адресу сетевого устройства из множества {AIP} j-го сформированного MAC-адреса из массива памяти GMAC осуществляют путем записи в ячейку |i, j| массива памяти AG логической единицы.

Благодаря новой совокупности существенных признаков в заявленном способе обеспечивается повышение результативности защиты и введение в заблуждение нарушителя относительно структуры вычислительной сети за счет снижения вероятности обнаружения нарушителем факта использования и идентификации характеристик средств защиты, достигаемых путем разделения адресного пространства вычислительной сети на области, обеспечивающие реалистичность функционирования защищаемой вычислительной сети, а также путем формирования множества случайных значений MAC-адресов, соответствующих ложным узлам вычислительной сети.

Заявленные объекты изобретения поясняются чертежами, на которых показаны:

фиг. 1 - формат дейтаграммы ARP;

фиг. 2 - пример, иллюстрирующий защиту вычислительной сети с применением сетевой «ловушки» до и после разделения адресного пространства;

фиг. 3 - графическая интерпретация разделения адресного пространства вычислительной сети;

фиг. 4 - блок-схема последовательности действий, реализующих заявленный способ защиты вычислительных сетей;

фиг. 5 - иллюстрация использования единственного и неизменяемого значения (00:00:0F:FF:FF:FF)16 MAC-адреса;

фиг. 6 - иллюстрация использования в способе защиты множества случайных значений МАС-адресов.

Реализация заявленного способа объясняется следующим образом. Известно, что в настоящее время достаточно большое количество компьютерных атак носит разведывательный характер с целью получения информации о топологии вычислительной сети, являющейся объектом атаки, а также об используемых средствах защиты вычислительной сети. Одними из средств сетевой защиты, функционирующих с применением обманных сетевых стратегий, направленных на создание у нарушителя иллюзий уязвимых целей или способствующих видимости более сложной инфраструктуры, чем существует на самом деле, являются сетевые «приманки» (honeypots), описанные, например, в книге Provos, N., Holz, Т, Virtual Honeypots: From Botnet Tracking to Intrusion Detection // Addison Wesley, 2007. 480 p. Более совершенные способы сетевого обмана включают в себя не только предоставление противнику правдоподобной цели, но и, так называемые проактивные меры защиты, такие как, например, удержание в двухстороннем порядке соединения с отправителем пакетов сообщений, что вызывает «истощение» ресурсов отправителя пакетов сообщений для поддержания состояния соединения, замедляет процесс автоматического сканирования атакуемой вычислительной сети и, как результат, накладывает ограничение на используемый нарушителем вычислительный ресурс, что приводит к невозможности осуществлять сетевой информационный обмен. Рассмотренные способы проактивной защиты реализованы в виде инструментальных средств сетевого обмана, так называемых сетевых «ловушек» (network tarpits), которые описаны, например, в книге Andres, S., Kenyon, В. Birkolz, Е, Security Sage's Guide to Hardening the Network Infrastructure // Sungress Publishing, 2004. 608 p., на стр. 414-416.

В свою очередь, нарушителями информационной безопасности также активно разрабатываются и совершенствуются средства снижения результативности сетевых «ловушек», реализующие следующие способы их компрометации: детектирование уникальных идентификаторов (демаскирующих признаков) сетевых «ловушек»; детальный анализ сетевого трафика поступающего с сетевых «ловушек». Такими демаскирующими признаками сетевой «ловушки», реализованной в способе-прототипе, являются активность любого IP-адреса из диапазона IP-адресов вычислительной сети, а также использование единственного и неизменяемого значения (00:00:0F:FF:FF:FF)16 (в шестнадцатеричной системе счисления) MAC-адреса независимо от реального адреса сетевого адаптера при ответах на ARP-запросы к i-ому неиспользуемому IP-адресу сетевого устройства вычислительной сети. Протокол разрешения адресов ARP (Address Resolution Protocol) предназначен для определения адреса канального уровня по известному адресу сетевого уровня и описан, например, в технических спецификациях (RFC, Request for Comments) сети Интернет (см., например, https://tools.ietf.org/html/rfc826). Формат дейтаграммы ARP представлен на фиг. 1. В локальных сетях протокол ARP использует широковещательные кадры протокола канального уровня для поиска в сети узла с заданным IP-адресом. Узел, которому нужно разрешить отображение (соответствие) IP-адреса на локальный (физический) адрес, формирует ARP-запрос, инкапсулирует его в кадр протокола канального уровня, указывая в нем известный IP-адрес, и рассылает запрос широковещательно. Все узлы локальной сети получают ARP-запрос и сравнивают указанный там IP-адрес с собственным. В случае их совпадения узел формирует ARP-ответ, в котором указывает свой IP-адрес и свой локальный адрес и посылает его уже направленно, так как в ARP-запросе отправитель указывает свой локальный адрес.

В качестве средств компрометации сетевых «ловушек», использующих обнаружение активных IP-адресов в помощью ARP-запросов нарушителем применяются различные утилиты (nmap, ethereal, arping, tethreal и др.), предназначенные для анализа сетевого трафика и топологии вычислительной сети, описанные, например, в книге Андрончик А.Н., Богданов В.В., Домуховский Н.А., Коллеров А.С., Синадский Н.И., Хорьков Д.А., Щербаков М.Ю. Защита информации в компьютерных сетях. Практический курс: учебное пособие / А.Н. Андрончик, В.В. Богданов, Н.А. Домуховский и др.; под редакцией Н.И. Синадского. - Екатеринбург: УГТУ-УПИ, 2008. - 248 с.

Таким образом, возникает противоречие между результативностью защиты вычислительных сетей и возможностями нарушителей по определению структуры вычислительных сетей и идентификации характеристик средств защиты, имеющих демаскирующие признаки. На устранение указанного противоречия направлен заявленный способ.

Заявленный способ реализуют следующим образом. В общем случае (фиг. 2а) вычислительная сеть представляет собой совокупность корреспондентов 1, 2, 6, 7, являющихся источниками и получателями сетевого трафика, периферийного и коммуникационного оборудования 4, 9, ретранслирующего сетевой трафик корреспондентов, объединенного физическими линиями (каналами) связи 3, 10, соединяющих n узлов вычислительной сети в единую инфраструктуру, в том числе с использованием сети передачи данных типа «Internet» 5. При этом пространство IP-адресов сетевых устройств занято корреспондентами вычислительной сети не полностью: корреспонденты K1, K2, K3, выделенные на фиг. 2а в совокупность 1, подключены к вычислительной сети. Тогда как корреспонденты K4, K5, … Kn, выделенные на фиг. 2а в совокупность 2 (иконки ПЭВМ на фиг. 2а изображены пунктиром), не подключены к вычислительной сети, то есть IP-адреса корреспондентами K4, K5, … Kn не заняты (не используются).

Для защиты вычислительной сети и введения в заблуждение нарушителя относительно структуры вычислительной сети, на одном из выделенных компьютеров 7 вычислительной сети устанавливают сетевую «ловушку», осуществляющую перехват ARP-запросов к i-ому неиспользуемому IP-адресу сетевого устройства 2 вычислительной сети, посредством анализатора пакетов 8. После перехват ARP-запросов осуществляют отправление пакета сообщений с ложным MAC-адресом отправителю пакетов сообщений и последующее удержание с ним соединения в двухстороннем порядке.

На фиг. 2б представлена вычислительная сеть с разделением адресного пространства на области, обеспечивающие реалистичность функционирования защищаемой вычислительной сети. На фиг. 3 представлена графическая интерпретация разделения адресного пространства вычислительной сети с использованием математических выражений, принятых в теории множеств. Разностью {R} множеств {А} и {U} называется операция, результатом которой является множество, состоящее из тех элементов, которые принадлежат {А} и не принадлежат {U} одновременно. То есть {RIP}={AIP\UIP}={RIP∈AIP∧RIP∉UIP}, что и показано на фиг. 3.

На фиг. 4 представлена блок-схема последовательности действий, реализующих заявленный способ защиты вычислительных сетей, в которой приняты следующие обозначения:

{MIP} - множество всех i IP-адресов сетевых устройств вычислительной сети, где i=1, 2, …, n, а n - максимально допустимое значение диапазона IP-адресов для вычислительной сети;

{AIP} - множество разрешенных для использования в вычислительной сети IP-адресов сетевых устройств, где {AIP}∈{MIP};

{DIP} - множество запрещенных для использования в вычислительной сети IP-адресов сетевых устройств, где {DIP}={MIP\AIP}={DIP∈MIP∧DIP∉AIP};

{UIP} - множество разрешенных и временно неподключенных IP-адресов сетевых устройств в вычислительной сети из множества AIP, где {UIP}={AIP\RIP}={UIP∈AIP∧UIP∉RIP};

{RIP} - множество разрешенных и подключенных IP-адресов сетевых устройств в вычислительной сети из множества AIP, где {RIP}={AIP\UIP}={RIP∈AIP∧RIP∉UIP};

SMAC - массив памяти для хранения считанных MAC-адресов сетевых устройств в вычислительной сети;

GMAC - массив памяти для хранения сформированных MAC-адресов;

AG - массив памяти для хранения матрицы соответствия i-му разрешенному для использования в вычислительной сети IP-адресу сетевого устройства из массива AIP j-го сформированного MAC-адреса из массива памяти GMAC.

Для снижения вероятности обнаружения нарушителем факта использования и идентификации характеристик средств защиты, предварительно разделяют адресное пространство вычислительной сети (фиг. 2б) на множества 1 - разрешенных и подключенных IP-адресов сетевых устройств, 2 - разрешенных и временно неподключенных IP-адресов сетевых устройств, 3 - запрещенных для использования в вычислительной сети IP-адресов сетевых устройств, обеспечивающие реалистичность функционирования защищаемой вычислительной сети.

Для этого предварительно задают (см. блок 1 на фиг. 4) множество {MIP}={K1, K2 , … Kn} всех i IP-адресов сетевых устройств вычислительной сети, где i=1, 2, …, n, а n - максимально допустимое значение диапазона IP-адресов для вычислительной сети.

В множестве {MIP} задают множество {AIP}={K1, K2, K3, K4, K5, K6} разрешенных для использования в вычислительной сети IP-адресов сетевых устройств, где {AIP}∈{MIP}.

Затем в множестве {MIP} задают множество {DIP}={K7, … Kn) запрещенных для использования в вычислительной сети IP-адресов сетевых устройств, где {DIP}={MIP\AIP}={DIP∈MIP∧DIP∉AIP}.

После этого в множестве {MIP} задают множество {UIP}={K4, K5, K6} разрешенных и временно неподключенных IP-адресов сетевых устройств в вычислительной сети из множества {AIP}, где {UIP}={AIP\RIP}={UIP∈AIP∧UIP∉RIP}.

Также предварительно задают множество {RIP}={K1, K2, K3} разрешенных и подключенных IP-адресов сетевых устройств в вычислительной сети из множества {AIP}, где {RIP}={AIP\UIP}={RIP∈AIP∧RIP∉UIP}.

Разделением таким образом адресного пространства вычислительной сети достигается реалистичность функционирования защищаемой вычислительной сети, что позволяет снизить вероятность обнаружения нарушителем факта использования средств защиты и с высокой степенью вероятности идентифицировать факт ведения сетевой разведки нарушителем, заключающийся в его обращении к IP-адресам временно неподключенных сетевых устройств {UIP}, а также снизить информативность демаскирующего признака сетевой «ловушки» (заключающегося в активности всего диапазона IP-адресов вычислительной сети) исключением из диапазона IP-адресов, обращения к которым перехватывают «ловушкой», множество IP-адресов {DIP}.

Для снижения вероятности идентификации характеристик средств защиты в заявленном способе обеспечивают уменьшение информативности демаскирующего признака сетевой «ловушки», заключающемся в использовании единственного и неизменяемого значения (00:00:0F:FF:FF:FF)16 MAC-адреса независимо от реального адреса сетевого адаптера, при ответах на ARP-запросы к i-ому неиспользуемому IP-адресу сетевого устройства вычислительной сети. Для этого применяют случайные значения MAC-адресов сетевых адаптеров.

Применение случайных значений MAC-адресов сетевых адаптеров достигают тем, что задают (см. блок 1 на фиг. 4) массив памяти SMAC для хранения считанных MAC-адресов сетевых устройств в вычислительной сети, массив памяти GMAC для хранения сформированных MAC-адресов и массив памяти AG для хранения матрицы соответствия i-му разрешенному для использования в вычислительной сети IP-адресу сетевого устройства из множества {AIP} j-го сформированного MAC-адреса из массива памяти GMAC.

Затем, после подключения сетевых устройств к вычислительной сети (см. блок 2 на фиг. 4), запоминают IP-адреса временно неподключенных сетевых устройств в множество {UIP} (см. блок 3 на фиг. 4). Считывают MAC-адреса подключенных сетевых устройств вычислительной сети (см. блок 4 на фиг. 4) и запоминают их (см. блок 5 на фиг. 4) в массиве памяти SMAC. Далее генерируют случайную последовательность шестнадцатеричных чисел (см. блок 6 на фиг. 4), например, как описано в книге Дональд Э. Кнут Случайные числа // Искусство программирования. 3 изд. - М: Вильяме, 2000. Т. 2. Получисленные алгоритмы. - 832 с., и формируют из нее (см. блок 7 на фиг. 4) J значений, где J=1, 2, … j, MAC-адресов временно неподключенных сетевых устройств вычислительной сети.

После этого запоминают (см. блок 8 на фиг. 4) сформированные J значений MAC-адресов временно неподключенных сетевых устройств вычислительной сети в массиве памяти GMAC и, для исключения появления в вычислительной сети двух сетевых устройств с одинаковыми MAC-адресами, сравнивают (см. блок 10 на фиг. 4) сформированные J значений MAC-адресов временно неподключенных сетевых устройств вычислительной сети из массива памяти GMAC с MAC-адресами временно неподключенных сетевых устройств вычислительной сети из массива памяти SMAC. По результатам сравнения, в случае их совпадения, j-й MAC-адрес удаляют (см. блок 9 на фиг. 4) из массива памяти GMAC, а в противном случае, то есть при их несовпадении, запоминают (см. блок 11 на фиг. 4) в массиве памяти AG соответствие i-му разрешенному для использования в вычислительной сети IP-адресу сетевого устройства из множества {AIP} j-го сформированного MAC-адреса из массива памяти GMAC.

Далее принимают (см. блок 12 на фиг. 4) ARP-запрос к любому i-му IP-адресу сетевого устройства из множества {MIP} и сравнивают (см. блок 14 на фиг. 4) IP-адрес получателя ARP-запроса с IP-адресами сетевых устройств из множества {DIP} запрещенных для использования в вычислительной сети IP-адресов сетевых устройств. По результатам сравнения, в случае совпадения IP-адреса получателя ARP-запроса с IP-адресами из множества {DIP} запрещенных для использования в вычислительной сети IP-адресов сетевых устройств, игнорируют ARP-запрос (см. блок 13 на фиг. 4).

В противном случае, то есть при несовпадении IP-адреса получателя ARP-запроса с IP-адресами из множества {DIP}, сравнивают (см. блок 16 на фиг. 4) IP-адрес получателя ARP-запроса с IP-адресами сетевых устройств из множества {RIP} разрешенных и подключенных IP-адресов сетевых устройств, и по результатам сравнения в случае совпадения IP-адреса получателя ARP-запроса с IP-адресами из множества {RIP} разрешенных и подключенных IP-адресов формируют (см. блок 19 на фиг. 4) сообщение о доступности узла получателя пакетов сообщений, что соответствует обращению легитимного абонента к сетевому устройству вычислительной сети.

В противном случае, то есть при несовпадении IP-адреса получателя ARP-запроса с IP-адресами из множества {RIP}, сравнивают (см. блок 17 на фиг. 4) IP-адрес получателя ARP-запроса с IP-адресами сетевых устройств из множества {UIP} временно неподключенных IP-адресов, и по результатам сравнения в случае несовпадения IP-адреса получателя ARP-запроса с IP-адресами из множества {UIP} временно неподключенных IP-адресов формируют (см. блок 18 на фиг. 4) сообщение о доступности узла получателя пакетов сообщений.

В противном случае, то есть при совпадении IP-адреса получателя ARP-запроса с IP-адресами из множества {UIP}, после формирования ответного пакета сообщений и записывания (см. блок 20 на фиг. 4) в поле «размер окна» TCP-заголовка ответного пакета сообщений значения Wнач равное 10 байт, записывают (см. блок 21 на фиг. 4) в заголовок ответного пакета j-й сгенерированный MAC-адрес для i-го IP-адреса из массива памяти GMAC. После этого направляют (см. блок 22 на фиг. 4) отправителю ответный пакет сообщений со значением j-го сгенерированного MAC-адреса для i-го IP-адреса из массива памяти GMAC.

Запоминание в массиве памяти AG соответствия i-му разрешенному для использования в вычислительной сети IP-адресу сетевого устройства из множества {AIP} j-го сформированного MAC-адреса из массива памяти GMAC осуществляют путем записи в ячейку |i, j| двумерного массива памяти AG логической единицы. Двумерный массив памяти в результате содержит простую матрицу, содержащую нули и единицы. Единица в ячейке матрицы означает соответствие i-го IP-адреса сетевого устройства j-му MAC-адресу.

Результативность сформулированного технического результата была проверена путем программной реализации заявленного способа и проведении натурного эксперимента. Суть эксперимента - сравнение результативности обнаружения сетевой «ловушки», реализованной в способе-прототипе, с результативностью обнаружения сетевой «ловушки» при программной реализации заявленного способа. Для идентификации сетевой «ловушки», то есть для идентификации характеристик средств защиты в процессе эксперимента применен перехват из сетевого трафика ответов на запросы по протоколу ARP с использованием анализатора пакетов Wireshark описанного, например в (Abbhinav, Singh. Instant Wireshark Starter. Pakt Publishing, UK. 69 p. ISBN 978-1-84969-564-0). На фиг. 5 представлена экранная форма, иллюстрирующая результаты первого этапа эксперимента. Результат анализа сетевого трафика - использование единственного и неизменяемого значения (00:00:0F:FF:FF:FF)16 MAC-адреса. Обнаружение данного MAC-адреса позволяет однозначно идентифицировать факт использования в качестве средства защиты вычислительной сети сетевую «ловушку».

На втором этапе эксперимента использовалась программная реализация заявленного способа. Результат случайной генерации MAC-адресов сетевых устройств вычислительной сети и анализа сетевого трафика с использованием анализатора пакетов Wireshark представлен на фиг. 6. Использование таких МА С-адресов при ответах на запросы по протоколу ARP позволило полностью устранить демаскирующий признак сетевой «ловушки» и скрыть таким образом тип используемого в вычислительной сети средства защиты.

Таблица на фиг. 6 содержит следующие основные элементы. В таблице записано чередование широковещательных (Broadcast) запросов (нечетная строка, например, № п/п 465) по протоколу ARP и ответов на них. Нарушитель осуществляет запросы через маршрутизатор AsustekC. Суть запроса отражается в столбце таблицы «Содержимое ARP-запроса». Рассмотрим пример. В строке №465 маршрутизатор AsustekC запрашивает физический адрес (MAC-адрес) устройства с IP-адресом 10.0.0.40. В строке №466 п/п устройство с физическим адресом (MAC-адресом) be:97:a6:1c:2a:ef отвечает маршрутизатору AsustekC отвечает своим соответствием запрашиваемому IP-адресу. Аналогичный диалог происходит и в остальных парах строк таблицы. При этом все ответы на ARP-запросы отправляет сетевая «ловушка», реализованная заявленным способом, устанавливая соответствие ложных узлов вычислительной сети запрашиваемым маршрутизатором AsustekC IP-адресам.

Таким образом, в заявленном способе достигается достижение сформулированной цели, заключающейся в повышении результативности защиты и введении в заблуждение нарушителя относительно структуры вычислительной сети, за счет снижения вероятности обнаружения нарушителем факта использования средств защиты и идентификации их характеристик, достигаемых путем разделения адресного пространства вычислительной сети на области, обеспечивающие реалистичность функционирования защищаемой вычислительной сети, а также путем формирования множества случайных значений MAC-адресов, соответствующих ложным узлам вычислительной сети.

1. Способ защиты вычислительных сетей, заключающийся в том, что подключают сетевые устройства к вычислительной сети и после приема ARP-запросов к i-му неиспользуемому IP-адресу сетевого устройства вычислительной сети формируют ответный пакет сообщений, записывают в поле «размер окна» TCP-заголовка ответного пакета сообщений значение Wнач, равное 10 байт, принимают очередной пакет сообщений, формируют ответный пакет сообщений, устанавливают в поле «размер окна» ТСР-заголовка ответного пакета сообщений значение Wуд, равное 0 байт, направляют отправителю сформированные ответные пакеты сообщений, а для блокирования попыток разорвать соединение со стороны отправителя пакетов сообщений игнорируют все входящие пакеты сообщений до истечения тайм-аута соединения, отличающийся тем, что предварительно задают множество {MIP} всех i IP-адресов сетевых устройств вычислительной сети, где i=1, 2, …, n, а n - максимально допустимое значение диапазона IP-адресов для вычислительной сети, множество {АIP} разрешенных для использования в вычислительной сети IP-адресов сетевых устройств, где {AIP}∈{MIP}, множество {DIP} запрещенных для использования в вычислительной сети IP-адресов сетевых устройств, где {DIP}={МIP\AIP}={DIP∈MIP∧DIP∉AIP}, множество {UIP} разрешенных и временно неподключенных IP-адресов сетевых устройств в вычислительной сети из множества {АIP} и множество {RIP} разрешенных и подключенных IP-адресов сетевых устройств в вычислительной сети из множества {АIP}, где {UIP}={АIP\RIP}={UIP∈АIP∧UIP∉RIP} и {RIP}={AIP\UIP}={RIP∈АIP∧RIP∉UIP}, массив памяти SMAC для хранения считанных MAC-адресов сетевых устройств в вычислительной сети, массив памяти GMAC для хранения сформированных MAC-адресов, массив памяти AG для хранения матрицы соответствия i-му разрешенному для использования в вычислительной сети IP-адресу сетевого устройства из множества {АIP} j-го сформированного MAC-адреса из массива памяти GMAC и после подключения сетевых устройств к вычислительной сети запоминают IP-адреса временно неподключенных сетевых устройств в множество {UIP}, считывают MAC-адреса подключенных сетевых устройств вычислительной сети и запоминают их в массиве памяти SMAC, затем генерируют случайную последовательность шестнадцатеричных чисел и формируют из нее J значений, где J=1, 2, …, j, MAC-адресов временно неподключенных сетевых устройств вычислительной сети, запоминают сформированные J значений МАС-адресов временно неподключенных сетевых устройств вычислительной сети в массиве памяти GMAC и сравнивают сформированные J значений МАС-адресов временно неподключенных сетевых устройств вычислительной сети из массива памяти GMAC с MAC-адресами временно неподключенных сетевых устройств вычислительной сети из массива памяти SMAC, а по результатам сравнения в случае их совпадения j-й MAC-адрес удаляют из массива памяти GMAC, в противном случае, то есть при их несовпадении, запоминают в массиве памяти AG соответствие i-му разрешенному для использования в вычислительной сети IP-адресу сетевого устройства из множества {АIP} j-го сформированного MAC-адреса из массива памяти GMAC, после чего принимают ARP-запрос к любому i-му IP-адресу сетевого устройства из множества {МIP} и сравнивают IP-адрес получателя ARP-запроса с IP-адресами сетевых устройств из множества {DIP} запрещенных для использования в вычислительной сети IP-адресов сетевых устройств, а по результатам сравнения в случае совпадения IP-адреса получателя ARP-запроса с IP-адресами из множества {DIP} запрещенных для использования в вычислительной сети IP-адресов сетевых устройств игнорируют ARP-запрос, а в противном случае, то есть при несовпадении IP-адреса получателя ARP-запроса с IP-адресами из множества {DIP}, сравнивают IP-адрес получателя ARP-запроса с IP-адресами сетевых устройств из множества {RIP} разрешенных и подключенных IP-адресов сетевых устройств и по результатам сравнения в случае совпадения IP-адреса получателя ARP-запроса с IP-адресами из множества {RIP} разрешенных и подключенных IP-адресов формируют сообщение о доступности узла получателя пакетов сообщений, а в противном случае, то есть при несовпадении IP-адреса получателя ARP-запроса с IP-адресами из множества {RIP}, сравнивают IP-адрес получателя ARP-запроса с IP-адресами сетевых устройств из множества {UIP} временно неподключенных IP-адресов и по результатам сравнения в случае несовпадения IP-адреса получателя ARP-запроса с IP-адресами из множества {UIP} временно неподключенных IP-адресов формируют сообщение о доступности узла получателя пакетов сообщений, а в противном случае, то есть при совпадении IP-адреса получателя ARP-запроса с IP-адресами из множества {UIP}, после формирования ответного пакета сообщений и записывания в поле «размер окна» TCP-заголовка ответного пакета сообщений значения Wнач, равное 10 байт, записывают в заголовок ответного пакета j-й сгенерированный МАС-адрес для i-го IP-адреса из массива памяти GMAC, направляют отправителю ответный пакет сообщений со значением j-го сгенерированного MAC-адреса для i-го IP-адреса из массива памяти GMAC.

2. Способ по п. 1, отличающийся тем, что запоминание в массиве памяти AG соответствия i-му разрешенному для использования в вычислительной сети IP-адресу сетевого устройства из множества {АIP} j-го сформированного МАС-адреса из массива памяти GMAC осуществляют путем записи в ячейку |i, j| массива памяти AG логической единицы.



 

Похожие патенты:

Изобретение относится к вычислительной технике и может быть использовано для отказоустойчивой параллельной реализации систем булевых функций в средствах криптографической защиты информации.

Изобретение относится к способу обеспечения целостности данных. Техническим результатом является обеспечение целостности данных и восстановления целостности данных при их возможном изменении в условиях преднамеренных воздействий злоумышленника.

Изобретение относится к компилятору, способу и вычислительному устройству для выполнения программ. Технический результат заключается в повышении защищенности вычислительных систем.

Изобретение относится к области мониторинга сети. Технический результат – повышение точности определения присутствия неавторизованной передачи сообщения без потери свойства функционирования в реальном времени.

Изобретение относится к области формирования и использования производного ключа на основе изображения. Технический результат заключается в обеспечении защищенной передачи данных.

Изобретение относится к способу запрашивания операции, устройству для его реализации и способу авторизации операции. Технический результат заключается в обеспечении безопасной работы операционных систем.

Изобретение относится к шифровальным устройствам на основе стандарта шифрования данных, более конкретно к шифрованию данных по стандарту ГОСТ 28147-89 и AES. Технический результат - повышение уровня защищенности каналов беспроводной связи за счет системы аппаратного шифрования с использованием алгоритма ГОСТ 28147-89 на базе криптографического блока, аппаратная реализация которого выполнена с использованием программируемой логической интегральной схемы Xilinx Spartan-6 XC6SLX25.

Изобретение относится к заменяемому элементу для хост-устройства. Технический результат заключается в уменьшении вероятности использования не одобренных изготовителем заменяемых элементов.

Изобретение относится к способу и устройству для доступа к смарт-камере. Технический результат – улучшение безопасности и надежности доступа пользовательского терминала к смарт-камере, для случаев, когда пользовательский терминал не может получить доступ к сети Интернет, а значит, не может получить доступ к смарт-камере через сеть Интернет.

Группа изобретений относится к вычислительной технике и может быть использована для обработки сигналов. Техническим результатом является повышение скорости обработки, улучшение обнаружения сигнала.

Изобретение относится к области разработки программного обеспечения. Техническим результатом является упрощение процесса разработки.

Изобретение относится к информационным системам обработки поискового запроса пользователей в Интернете. Технический результат заключается в обеспечении быстрого поиска ключа в ключевом массиве за счет минимизации числа шагов перехода к искомому ключу.

Изобретение относится к области использования больших баз данных. Технический результат заключается в сокращении времени выполнения поискового запроса.

Изобретение относится к средствам верификации согласованности между контентом собственного приложения и контентом соответствующего веб-ресурса, который предоставляется отдельно от контента собственного приложения.

Изобретение относится к области обнаружения вредоносных файлов. Технический результат заключается в классификации объектов с использованием модели обнаружения вредоносных объектов.

Изобретение относится к способам контроля исполнения исследуемого программного обеспечения с целью обнаружения поведения, характерного для вредоносного программного обеспечения.

Изобретение относится к средствам управления правом транзакции в сервере управления цифровыми правами. Технический результат заключается в обеспечении возможности установки правил перепродажи контента.

Изобретение относится к способу динамического управления техническими средствами. Осуществляют прием первой неформализованной входной последовательности символов, включающей идентификационный признак, вводят код размещения для проверки принятых последовательностей, аналогичным образом принимают другие неформализованные последовательности символов и записывают их в адрес постоянного запоминающегося устройства в соответствии с их кодом размещения, производят контроль всей совокупности принятых последовательностей, формируют команды управления при положительном результате проверки для использования их при изменении режимов работы технических средств.

Изобретение относится к автоматизации операций управления на виртуальных машинах. Техническим результатом изобретения является обеспечение безопасного сетевого взаимодействия.

Изобретение относится к вычислительной технике. Техническим результатом является повышение результативности защиты и введение в заблуждение нарушителя относительно структуры вычислительной сети за счет снижения вероятности обнаружения нарушителем факта использования средств защиты и идентификации их характеристик, достигаемых путем разделения адресного пространства вычислительной сети на области, обеспечивающие реалистичность функционирования защищаемой вычислительной сети, а также путем формирования множества случайных значений MAC-адресов, соответствующих ложным узлам вычислительной сети. Способ защиты вычислительных сетей, предназначенный для использования в системах обнаружения атак с целью оперативного выявления и противодействия несанкционированным воздействиям в вычислительных сетях, основанных на семействе коммуникационных протоколов TCPIP, заключающийся в том, что устраняют демаскирующие признаки средств защиты вычислительных сетей: активность любого IP-адреса из диапазона IP-адресов вычислительной сети, а также использование единственного и неизменяемого значения 16 MAC-адреса независимо от реального адреса сетевого адаптера при ответах на ARP-запросы к i-му неиспользуемому IP-адресу сетевого устройства вычислительной сети. 1 з.п. ф-лы, 6 ил.

Наверх