Система обнаружения компьютерных атак с адаптивным изменением комплексных правил

Изобретение относится к области информационных технологий, а именно
к системам и средствам обеспечения информационной безопасности.

Под информационно-техническими воздействиями (ИТВ) понимаются методы радиоэлектронной борьбы, проникновение в компьютерные сети и т.п. (Базовые принципы информационной безопасности вычислительных сетей: учебное пособие для студентов, обучающихся по специальностям 08050565, 21040665, 22050165, 23040165 / А.А. Гладких, В.Е. Дементьев; - Ульяновск: УлГТУ, 2009. - С. 135).

Сетевой трафик – объём информации, передаваемой через компьютерную сеть за определенный период времени посредствам IP-пакетов. (А. Винокуров Принципы организации учёта IP-трафика. Электронный ресурс. Режим доступа: http://habrahabr.ru/post/136844).

Известна «Система и способ обнаружения признаков компьютерной атаки» (патент РФ № 2661533 G06F 21/55, 17.07.2018 Бюл. № 20) содержащая: средство защиты компьютера, средство защиты от направленных атак, сервер репутации, сеть администратора; аналитический центр, средство обнаружения, базу данных угроз, базу данных объектов, базу данных подозрительной активности, базу данных компьютерных атак.

Известен «Способ использования вариантов противодействия сетевой и потоковой компьютерным разведкам и сетевым атакам и система его реализующая» (патент РФ № 2682108, G06F 21/60, H04B 17/00 опубл. 14.03.2019 г. Бюл. № 8). Указанная система включает устройство визуализации соединенное с устройством управления обработкой данных и устройством управления базами данных; устройство ввода-вывода исходных данных соединенного с устройством управления базами данных; устройство обработки данных включающее устройство управления обработкой данных соединенное с устройством ранжирования проблем развития и устройством сравнения параметров сети связи соединенного с устройством управлением обработки данных и устройством синтеза виртуального рабочего варианта системы соединенным с устройством выбора оптимального варианта решения; устройство хранения данных, включающее в себя устройство управления базами данных, соединенное с устройством управления обработкой данных и базой данных примеров решения проблем, базой данных типов проблем и математических моделей, базой данных параметров уравнения развития, базой данных общематематических методов решения проблем, дополнительно в устройство обработки данных введено устройство моделирования (прогнозирования) состояния узлов сети связи состоящее из блока прогнозирования параметров сетевых атак соединенного с устройством ранжирования проблем развития; устройством сравнения параметров сети связи и блоком прогнозирования состояния узлов сети связи в условиях сетевой атаки соединенного с устройством сравнения параметров сети связи и блоком оптимизации контролируемых параметров соединенного с устройством сравнения параметров сети связи и блоком моделирования совместного применения способов и вариантов противодействия соединенное с устройством сравнения параметров сети связи, введено устройство управления распределенной системой мониторинга состоящей из группы датчиков распределенной системой мониторинга принимающих информационные потоки характеризующие техническое состояние узлов сети связи и сетевой атаки и соединенных с блок управления распределенной системой мониторинга, соединенным с устройством визуализации, устройством управления базами данных и блоком идентификации и классификации сетевых атак, введено устройство управления способами и вариантами противодействия сетевой атаки состоящей из группы блоков активации способов противодействия сетевой атаки, соединенных со способами противодействия сетевой атаки и блоком управления активацией способов и вариантов противодействия соединенным с блоком управления распределенной системой мониторинга и устройством выбора оптимального варианта решения.

Наиболее близким по технической сущности и выполняемым функциям аналогом (прототипом) к заявленному является «Адаптивная система мониторинга информационно-технических воздействий» (патент РФ № 2728763, G06F 21/50, H04L 63/1408, H04L 63/1416, H04L 63/1425 опубл. 31.07.2020 г. Бюл. № 22). Указанная адаптивная система мониторинга ИТВ состоит из: анализатора сетевого трафика, устройства управления функционированием системы мониторинга, блока ввода нормированных значений параметров быстродействия системы и сигнатур компьютерных атак, базы данных нормированных значений параметров быстродействия системы, сигнатур компьютерных атак и порогового значения коэффициента корреляции, блока визуализации, устройства обработки данных и управления системы мониторинга, блока оценки параметров системы мониторинга, блока синтеза и конфигурации системы обнаружения атак, устройства обнаружения компьютерных атак, блока коммутации сигнатур, блока идентификации и классификации атак, устройства коммутации и согласования, устройства промежуточных расчетов, блока расчета параметров быстродействия системы мониторинга, блока расчета коэффициентов корреляции значений параметров входящего и исходящего информационных потоков, блока сокращения сигнатур, блока ручного управления, блока выбора дополнительных сигнатур, блока сигнатур.

Техническая проблема: ухудшение качества связи, вызванное накапливанием задержки потока данных, из-за увеличения времени обработки пакетов данных системой мониторинга из-за большого количества операций по поиску сигнатур.

Решение технической проблемы: повышение качества связи, за счет недопущения накапливания задержки потока данных, за счет уменьшения количества операций по поиску сигнатур системой мониторинга, объединения сигнатур в комплексные правила, формируемые на основании пути прохождения пакета данных через систему мониторинга.

Технический результат: за счет ввода устройства формирования комплексных правил, состоящего из блока определения пути пакета, блока упорядочивания примененных сигнатур, блока формирования комплексного правила проверки, блока сохранения в базу комплексных сигнатур обеспечивается формирование и применение комплексных правил, уменьшающих количество операций по поиску сигнатур, что приводит к снижению времени проверки системой мониторинга проверяемых пакетов потока данных, что обеспечивает недопущение появления и накапливания задержки потока данных, что обеспечивает требуемое качество связи.

Техническая проблема решается за счет разработки системы обнаружения компьютерных атак, с адаптивным изменением комплексных правил состоящей из анализатора сетевого трафика [программный комплекс СКАТ DPI. ITGLOBAL.COM], выход, которого соединен с первым входом устройства коммутации и согласования [Коммутационное оборудование и его особенности / http://www.aitek-d.ru/ articles9851.html]; устройства управления функционированием системы мониторинга состоящего из блока ввода нормированных значений и сигнатур [классификация устройств ввода информации / https://spravochnick.ru /informatika/arhitektura_personalnogo kompyutera/ ustroystva_vvoda_ informacii/], второй выход соединен с первым входом блока сигнатур [напр. OpenSource Emerging Threats], первый выход соединен с входом базы данных [напр. Microsoft – SQL Server], второй выход которой соединен с вторым входом блока сокращения сигнатур [Работа с правилами. Аппаратно-программный комплекс шифрования Континент Версия 3.7 / https://www.securitycode.ru/upload/documentation/ detektor_atak/IDS_Admin_Guide.pdf], первый выход соединен с вторым входом блока оценки параметров системы мониторинга, третий выход базы данных соединен с четвертым входом блока визуализации [формирование изображения и графической информации с помощью мониторов компьютера], выход блока визуализации соединен со вторым входом блока ручного управления [классификация устройств ввода информации / https://spravochnick.ru/informatika/arhitektura_personalnogo_kompyutera/ustroystva_vvoda_ informacii/], первый выход блока ручного управления соединен со вторым входом устройства коммутации и согласования; второй выход блока ручного управления соединен с первым входом блока выбора дополнительных сигнатур [Работа с правилами. Аппаратно-программный комплекс шифрования Континент Версия 3.7 / https://www.securitycode.ru/upload/ documentation/ detektor_atak/IDS_Admin_Guide.pdf]; устройства обработки данных и управления системы мониторинга состоящего из блока оценки параметров системы мониторинга [Система обнаружения атак «ФОРПОСТ» версии 2.0 / https://www.rnt.ru/ru/production/detail.php?ID=19], первый выход которого соединен со вторым входом блока расчета коэффициентов корреляции, второй выход соединен с первым входом блока визуализации, третий выход соединен с блоком синтеза и конфигурации системы обнаружения атак [Система обнаружения атак «ФОРПОСТ» версии 2.0 / https://www.rnt.ru/ru/production/detail.php?ID=19], выход которого соединен с блоком коммутации сигнатур, блок выбора дополнительных сигнатур, выход соединен с третьим входом блока визуализации; устройства обнаружения компьютерных атак состоящего из блока коммутации сигнатур [Инициализация и подключение детектора атак. Аппаратно-программный комплекс шифрования Континент Версия 3.7 / https://www.securitycode.ru/upload/ documentation / detektor_atak/IDS_Admin_Guide.pdf], первый выход которого соединен с вторым входом блока сигнатур, второй выход с первым входом блока ручного управления; блока сигнатур второй выход которого соединен с вторым входом блока выбора дополнительных сигнатур; блока идентификации и классификации атак [Работа с правилами. Аппаратно-программный комплекс шифрования Континент Версия 3.7 / https://www.securitycode.ru/upload/documentation/ detektor_ atak/IDS_Admin_Guide.pdf], первый выход которого соединен со вторым входом блока визуализации, второй выход соединен с третьим входом блока ручного управления; устройства коммутации и согласования, первый выход устройства коммутации и согласования соединен с устройством промежуточных расчетов, а именно с первым входом блока расчета параметров быстродействия системы мониторинга [Добрышин М.М. и др. Программа расчета быстродействия системы мониторинга технического состояния средств связи / Свидетельство о государственной регистрации программы для ЭВМ № 2018618661 от 17.07.2018 г. Бюл. № 7.] и первым входом блока расчета коэффициентов корреляции [Добрышин М.М. и др. Расчет корреляционных связей между значениями параметров технического состояния средств связи / Свидетельство о государственной регистрации программы для ЭВМ № 2018615232 от 03.05.2018 г. бюл. № 5], второй выход соединен с первым входом блока идентификации и классификации атак; устройства промежуточных расчетов, состоящего из блока расчета параметров быстродействия системы мониторинга, выход которого соединен с первым входом блока оценки параметров системы мониторинга; блока расчета коэффициентов корреляции, выход блока соединен с первым входом блока сокращения сигнатур; выход блока сокращения сигнатур соединен со вторым входом блока расчета параметров быстродействия системы мониторинга.

Дополнительно введено устройство формирования комплексных правил, состоящего из блока определения пути пакета [https://rtfm.co.ua/ipfw-poryadok-proxozhdeniya-paketov-slozhnye-sluchai/], на первый вход которого поступают данные с третьего выхода блока устройства коммутации и согласования, на второй вход поступают данные с первого выхода блока сигнатур, выход блока определения путей пакета соединен со входом блока упорядочивания примененных сигнатур [Writing Snort rules, http://manual-snort-org.s3-website-us-east-1.amazonaws.com/node27.html], выход, которого соединен с входом блока формирования комплексного правила проверки. Выход блока формирования комплексного правила проверки соединен с входом блока сохранения в базу комплексных сигнатур, первый выход блока сохранения комплексных правил соединен с пятым входом блока визуализации, второй выход соединен с вторым входом блока идентификации и классификации атак.

Перечисленная новая совокупность существенных признаков обеспечивает снижение времени проверки системой мониторинга проверяемых пакетов потока данных до значений, не превышающих времени поступления очередного пакета.

Проведенный анализ уровня техники позволил установить, что аналоги, характеризующиеся совокупностями признаков, тождественным всем признакам заявленной системы, отсутствуют. Следовательно, заявленное изобретение соответствует условию патентоспособности "новизна".

«Промышленная применимость» разработанной адаптивной системы обусловлена наличием элементной базы, на основе которой могут быть выполнены устройства, реализующие данную систему с достижением указанного в изобретении результата.

Результаты поиска известных решений в данной и смежной областях техники с целью выявления признаков, совпадающих с отличительными от прототипов признаками заявленного изобретения, показали, что они не следуют явным образом из уровня техники. Из определенного заявителем уровня техники не выявлена известность влияния предусматриваемых существенными признаками заявленного изобретения на достижение указанного технического результата. Следовательно, заявленное изобретение соответствует условию патентоспособности «изобретательский уровень».

Заявленные объекты системы поясняются:

Фиг.1 – структурная схема системы обнаружения компьютерных атак
с адаптивным изменением комплексных правил.

Состав системы обнаружения компьютерных атак, с адаптивным изменением комплексных правил: анализатора сетевого трафика, выход которого соединен с первым входом устройства коммутации и согласования; устройства управления функционированием системы мониторинга состоящего из блока ввода нормированных значений и сигнатур, второй выход соединен с первым входом блока сигнатур, первый выход соединен с входом базы данных, второй выход которой соединен с вторым входом блока сокращения сигнатур, первый выход соединен с вторым входом блока оценки параметров системы мониторинга, третий выход базы данных соединен с четвертым входом блока визуализации, выход блока визуализации соединен со вторым входом блока ручного управления, первый выход блока ручного управления соединен со вторым входом устройства коммутации и согласования; второй выход блока ручного управления соединен с первым входом блока выбора дополнительных сигнатур; устройства обработки данных и управления системы мониторинга состоящего из блока оценки параметров системы мониторинга, первый выход которого соединен со вторым входом блока расчета коэффициентов корреляции, второй выход соединен с первым входом блока визуализации, третий выход соединен с блоком синтеза и конфигурации системы обнаружения атак, выход которого соединен с блоком коммутации сигнатур, блок выбора дополнительных сигнатур, выход соединен с третьим входом блока визуализации; устройства обнаружения компьютерных атак состоящего из блока коммутации сигнатур, первый выход которого соединен с вторым входом блока сигнатур, второй выход с первым входом блока ручного управления; блока сигнатур второй выход которого соединен с вторым входом блока выбора дополнительных сигнатур; блока идентификации и классификации атак, первый выход которого соединен со вторым входом блока визуализации, второй выход соединен с третьим входом блока ручного управления; устройства коммутации и согласования, первый выход устройства коммутации и согласования соединен с устройством промежуточных расчетов, а именно с первым входом блока расчета параметров быстродействия системы мониторинга и первым входом блока расчета коэффициентов корреляции, второй выход соединен с первым входом блока идентификации и классификации атак; устройства промежуточных расчетов, состоящего из блока расчета параметров быстродействия системы мониторинга, выход которого соединен с первым входом блока оценки параметров системы мониторинга; блока расчета коэффициентов корреляции, выход блока соединен с входом блока сокращения сигнатур; выход блока сокращения сигнатур соединен со вторым входом блока расчета параметров быстродействия системы мониторинга; устройство формирования комплексных правил, состоящее из блока определения пути пакета, на первый вход которого поступают данные с третьего выхода блока устройства коммутации и согласования, на второй вход поступают данные с первого выхода блока сигнатур, выход блока определения путей пакета соединен со входом блока упорядочивания примененных сигнатур, выход которого соединен со входом блока формирования комплексного правила проверки, выход блока формирования комплексного правила проверки соединен со входом блока сохранения в базу комплексных сигнатур, первый выход блока сохранения комплексных правил соединен с пятым входом блока визуализации, второй выход соединен с вторым входом блока идентификации и классификации атак.

Система обнаружения компьютерных атак с адаптивным изменением комплексных правил (фиг.1) на подготовительном этапе функционирует следующим образом: с помощью блока ввода нормированных значений и сигнатур (блок 3.4), устройства управления функционированием системы мониторинга (блок 3), оператор вводит нормированные значения параметров, которые сохраняются в базе данных (блок 3.3) и через 3 выход блока 3.3 поступают в блок 3.2, оператор вводит сигнатуры, характеризующие различные компьютерные атаки, которые сохраняются в блоке сигнатур (блок 6.2), устройства обнаружения компьютерных атак (блок 6).

На входы анализатора сетевого трафика (блок 1) поступает входящий и исходящий информационные потоки защищаемого узла связи.

В блоке 1 выделяются статистические значения анализируемого информационного потока и поступают на выход блока 1 соединенного с первым входом устройства коммутации и согласования (блок 2). На второй вход блока 2 поступает управляющий сигнал из блока ручного управления (блок 3.1), устройства управления функционированием системы мониторинга (блок 3) о направлении выделенных статистических значений или в блок расчета параметров быстродействия системы мониторинга (блок 4.1), устройства промежуточных расчетов (блок 4) или в блок определения путей (блок 7.1).

Если из блока 3.1 поступил сигнал «настройки системы мониторинга», то с первого выхода блока 2 статистические значения анализируемого информационного потока поступают на первый вход блока 4.1, где рассчитываются значения параметров быстродействия системы мониторинга.

С выхода блока 4.1 значения параметров быстродействия системы мониторинга поступают на первый вход блока оценки параметров системы мониторинга (блок 5.1), устройства обработки данных и управления системой мониторинга (блок 5).

На второй вход блока 5.1 из 1 выхода блока 3.3 поступает нормированное значение быстродействия системы мониторинга. В блоке 5.1 поступившие на первый и второй входы значения быстродействия системы сравниваются. Если значение быстродействия на первом входе меньше аналогичного значения на втором входе, блок 5.1 с первого выхода передается управляющая команда в блок расчета коэффициентов корреляции (блок 4.3).

На первый вход блока 4.3 с выхода блока 2 поступают статистические значения входящего и исходящего информационных потоков. Если на второй вход блока 4.3 поступает управляющий сигнал из блока 5.1, то рассчитывают значения коэффициентов корреляции между всеми принятыми статистическими значениями параметров входящего и исходящего информационных потоков.

С выхода блока 4.3 на первый вход блока сокращения сигнатур (блок 4.2) передаются рассчитанные значения коэффициентов корреляции. В блоке 4.2 на основании заданного порогового значения коэффициента корреляции (поступающего на второй вход блока 4.2 из 2 выхода блока 3.3) выделяют и сокращают сигнатуры соответствующих компьютерных атак. При выборе сокращаемых сигнатур оставляют сигнатуры нижележащего уровня эталонной модели взаимодействия открытых систем. После сокращения сигнатур, подсчитывают количество оставшихся сигнатур.

С выхода блока 4.2 на второй вход блока 4.1 поступают значения количества сокращенного перечня сигнатур. В блоке 4.1 рассчитывают быстродействие системы мониторинга с учетом сокращенного количества сигнатур. С выхода блока 4.1 значения быстродействия системы мониторинга поступают на вход блока 5.1.

Если повторно значения на первом входе блока 5.1 меньше чем значения на втором входе блока 5.1, на втором выходе блока 5.1 формируется команда о необходимости уменьшения порогового значения коэффициента корреляции и передается на первый вход блока визуализации (блок 3.2).

На основании полученной в блоке 3.2 команды о необходимости уменьшения порогового значения коэффициента корреляции, оператор уменьшает указанное значение путем внесения изменений с помощью блока 3.4.

Действия в блоках 4.1-5.1-4.3-4.2 продолжаются до тех пор, пока не будет выполнено условие в блоке 5.1.

Если условие в блоке 5.1 выполнено, то с третьего выхода блока 5.1 передаются номера сигнатур, которые необходимо использовать при функционировании системы мониторинга на первый вход блока синтеза и конфигурации системы мониторинга (блок 5.2).

В блоке 5.2 формируются управляющие команды необходимые для подключения указанных сигнатур определения компьютерных атак. С первого выхода блока 5.2 команда на подключения требуемых сигнатур передается на первый вход блока коммутации сигнатур (блок 6.1).

С первого выхода блока 6.1 на входы блоков сигнатур (блок 6.2) передаются управляющие команды на коммутацию сигнатур со вторым входом блока определения путей (блок 7.1).

После коммутации первого выхода блока сигнатур (блок 6.2) с блоком 7.1, со второго выхода блока 6.1 на первый вход блока ручного управления (блок 3.1) поступает сообщение о начале формирования комплексных сигнатур.

После поступления на вход блока 3.1 сообщения о начале формирования комплексных сигнатур, оператор принимает решение о переключении входящих и исходящих информационных потоков с первого входа блока 4.1 на первый вход блока 7.1.

С первого выхода блока 3.1 на второй вход блока 2 передается команда о переключении входящих и исходящих информационных потоков с первого входа блока 4.1 на первый вход блока 7.1.

В блоке 7.1 входящий информационный поток разбивается на отдельные пакеты, для каждого из которых ведется поиск всех возможных вариантов и комбинаций применения правил фильтрации и поиска вредоносного содержимого (https://rtfm.co.ua/ipfw-poryadok-proxozhdeniya-paketov-slozhnye-sluchai/). Для каждого возможного варианта сопоставляются сигнатуры из блока 6.2 (https://www.kaspersky.ru/blog/signature-virus-desinfection/13346/), поступающие на второй вход блока 7.1. Список всех поэтапно применённых сигнатур передается в блок 7.2.

После чего, в блоке 7.2 производится поиск повторяющихся путей по уже известным комплексным правилам. Количество пакетов с различными значениями полей обширно, однако многие из них имеют одинаковые пути, количество которых конечно. Таким образом, различные пакеты с одинаковыми путями фильтрации можно отнести к одному комплексному правилу, оптимизировав тем самым количество комплексных правил. Если повторяющийся путь пакета не найден, то данные передаются в блок 7.3. Если же найден повторяющийся путь, то данные передаются в блок 7.3 вместе с номером правила сформированного раньше, в котором уже отражен этот путь.

В блоке 7.3 новый путь пакета совместно со списком применяемых сигнатур образует новое комплексное правило, которому присваивают индекс по порядку и сохраняют в блоке 7.4 в базу комплексных сигнатур. Если же в блоке 7.2 найден повторяющийся путь, описанный в уже существующем комплексном правиле, то в блоке 7.3 в известное правило вносят данные о новом пакете, путь которого повторяется в данном правиле. Затем сохраняют в блоке 7.4

При отсутствии поступления новых правил в блок 7.4, на пятый вход блока 3.2 передается сообщение об окончании формирования комплексных правил, после чего оператор в блоке 3.1 принимает решение о переключении входящего потока на первый вход блока 6.3.

На этапе функционирования система обнаружения компьютерных атак с адаптивным изменением комплексных правил функционирует следующим образом.

При поступлении на первый вход блока 6.3 входящего информационного потока осуществляется выделение и анализ статистических данных указанных потоков и сравнивают с подключенными ко второму входу сигнатурами блока 7.4 с целью выявления компьютерных атак.

Результаты идентификации и классификации атак передаются с первого выхода блока 6.3 на второй вход блока 3.2.

Если по результатам идентификации и классификации атак, устройство обнаружения компьютерных атак не смогло с требуемой достоверностью классифицировать атаку, формируется соответствующее сообщение и передается со второго выхода блока 6.3 на третий вход блока 3.1.

При поступлении на третий вход блока 3.1 сообщения, оператор, формирует управляющую команду на дополнительную активацию сигнатур и передает со второго выхода блока 3.1 на первый вход блока выбора дополнительных сигнатур (блок 5.3), а так же передает статистические значения трафика, которые устройство обнаружения компьютерных атак не смогло классифицировать.

В блоке 5.3 на основании принятой управляющей команды, значений входящего и исходящего трафика и имеющейся базы несокращенных сигнатур, поступающих на второй вход блока 5.3 со второго выхода блока 6.2 классифицируют атаку.

После классификации атаки с выхода блока 5.3 на третий вход блока 3.2 передается сообщение о классифицированной атаке.

Полученное сообщение о классификации атаки с выхода блока 3.2 передается на 2 вход блока 3.1, где оператор принимает решение об отключении выбранной в блоке 5.3 не активированной сигнатуры.

Расчёт эффективности заявленной системы проводился следующим образом:

Известно выражение для определения времени проверки принимаемого пакета (Гречишников Е.В., Добрышин М.М., Берлизев А.В. Предложение по совершенствованию системы мониторинга инцидентов информационной безопасности / Сборник трудов II Межвузовской научно-практической конференции Проблемы технического обеспечения войск в современных условиях: Военная академия связи. – Санкт-Петербург. –2017. – С.31-35.).

, (1)

где - время проверки одного пакета; - количество операций для проверки пакета (сопоставимо с количеством сигнатур); - частота процессора.

Однако, в данной формуле не учтены операции по поиску сигнатур, подходящих для пакета информации конкретного вида. Дополненная формула будет выглядеть следующим образом:

, (2)

где - количество операций по поиску сигнатур.

при сравнении времени проверки одного пакета для способа прототипа и предлагаемой системы получим:

. (3)

Так как в системе предлагается построение одного комплексного правила для каждого пакета данных, то при одинаковом количестве исходных сигнатур:

. (4)

Созданные в устройстве формирования комплексных правил комплексные сигнатуры позволяют заранее знать следующую применяемую сигнатуру, благодаря чему сокращают количество операций по поиску сигнатур, и как следствие, заявленная система обнаружения компьютерных атак с адаптивным изменением комплексных правил обеспечивает снижение времени проверки пакетов потока данных.

Система обнаружения компьютерных атак с адаптивным изменением комплексных правил, состоящая из: анализатора сетевого трафика, выход которого соединен с первым входом устройства коммутации и согласования; устройства управления функционированием системы мониторинга, состоящего из блока ввода нормированных значений и сигнатур, второй выход соединен с первым входом блока сигнатур, первый выход соединен с входом базы данных, второй выход которой соединен с вторым входом блока сокращения сигнатур, первый выход соединен с вторым входом блока оценки параметров системы мониторинга, третий выход базы данных соединен с четвертым входом блока визуализации, выход блока визуализации соединен со вторым входом блока ручного управления, первый выход блока ручного управления соединен со вторым входом устройства коммутации и согласования; второй выход блока ручного управления соединен с первым входом блока выбора дополнительных сигнатур; устройства обработки данных и управления системы мониторинга, состоящего из блока оценки параметров системы мониторинга, первый выход которого соединен со вторым входом блока расчета коэффициентов корреляции, второй выход соединен с первым входом блока визуализации, третий выход соединен с блоком синтеза и конфигурации системы обнаружения атак, выход которого соединен с блоком коммутации сигнатур, блок выбора дополнительных сигнатур, выход соединен с третьим входом блока визуализации; устройства обнаружения компьютерных атак, состоящего из блока коммутации сигнатур, первый выход которого соединен с вторым входом блока сигнатур, второй выход с первым входом блока ручного управления; блока сигнатур, второй выход которого соединен с вторым входом блока выбора дополнительных сигнатур; блока идентификации и классификации атак, первый выход которого соединен со вторым входом блока визуализации, второй выход соединен с третьим входом блока ручного управления; устройства коммутации и согласования, первый выход устройства коммутации и согласования соединен с устройством промежуточных расчетов, а именно с первым входом блока расчета параметров быстродействия системы мониторинга и первым входом блока расчета коэффициентов корреляции, второй выход соединен с первым входом блока идентификации и классификации атак; устройства промежуточных расчетов, состоящего из блока расчета параметров быстродействия системы мониторинга, выход которого соединен с первым входом блока оценки параметров системы мониторинга; блока расчета коэффициентов корреляции, выход блока соединен с первым входом блока сокращения сигнатур; выход блока сокращения сигнатур соединен со вторым входом блока расчета параметров быстродействия системы мониторинга; отличающаяся тем, что дополнительно введено устройство формирования комплексных правил, состоящее из блока определения пути пакета, на первый вход которого поступают данные с третьего выхода блока устройства коммутации и согласования, на второй вход поступают данные с первого выхода блока сигнатур, выход блока определения путей пакета соединен с входом блока упорядочивания примененных сигнатур, выход которого соединен с входом блока формирования комплексного правила проверки, выход блока формирования комплексного правила проверки соединен с входом блока сохранения в базу комплексных сигнатур, первый выход блока сохранения комплексных правил соединен с пятым входом блока визуализации, второй выход соединен со вторым входом блока идентификации и классификации атак.