Показать метаданные Скрыть метаданные

(19)

(11)

2 271 613

(13)

(51)

МПК

H04L9/32(2006-01-01)

G06F12/14(2006-01-01)

(21) (22)

Заявка

2004127625/09, 2004-09-15

(24)

Дата начала отсчета патента

2004-09-15

(22)

дата подачи заявки

2004-09-15

(45)

опубликовано

2006-03-10

(72)

авторы

Андриенко Анатолий АфанасьевичВерещагин Владимир ЛеонидовичКолбасова Галина СергеевнаКостырев Андрей ЛеонидовичМаксимов Роман ВикторовичПавловский Антон ВладимировичТерин Вячеслав Викторович

(73)

патентообладатели

Военный Университет Связи

(56)

Документы, цитированные в отчете о поиске

СПОСОБ ЗАЩИТЫ ВЫЧИСЛИТЕЛЬНЫХ СЕТЕЙ ОТ НЕСАНКЦИОНИРОВАННЫХ ВОЗДЕЙСТВИЙ Российский патент 2006 года по МПК H04L9/32 G06F12/14

Описание патента на изобретение RU2271613C1

Изобретение относится к электросвязи и может быть использовано в системах обнаружения атак¹ (толкование используемых терминов приведено в конце описания) с целью оперативного выявления и блокирования несанкционированных воздействий в вычислительных сетях, в частности в сети передачи данных (СПД) типа "Internet", основанных на семействе коммуникационных протоколов TCP/IP (Transmission Control Protocol / Internet Protocol) и описанных в книге Кульгин М. Технологии корпоративных сетей. Энциклопедия. - СПб.: Издательство "Питер", 1999. - 704с.: ил.

Заявленное техническое решение расширяет арсенал средств данного назначения.

Известен способ выявления несанкционированных воздействий, реализованный в патенте РФ №2179738, "Способ обнаружения удаленных атак в компьютерной сети", кл. G 06 F 12/14, заявл. 24.04.2000. Известный способ включает следующую последовательность действий. Наблюдение за информационным потоком адресованных абоненту пакетов данных, включающее постоянно возобновляемый подсчет числа пакетов, выполняемый в пределах серии пакетов, поступающих подряд друг за другом через промежутки времени не более заданного. При этом проверку поступающих пакетов данных на соответствие заданным правилам выполняют каждый раз, когда размер очередной наблюдаемой серии достигает критического числа пакетов.

Недостатками данного способа являются узкая область применения, что обусловлено его предназначением в основном для защиты от подмены одного из участников соединения и недостаточная достоверность² при обнаружении других типов преднамеренных деструктивных воздействий. В аналоге применяют ограниченную совокупность признаковых описаний несанкционированных воздействий. При этом не учитывают наличия большого количества типов несанкционированных воздействий, что создает условия для пропуска последних и, как следствие, для деструктивных воздействий на вычислительные сети (ВС), что, в свою очередь, приводит к угрозам целостности³, доступности⁴ и конфиденциальности⁵ информации в ВС (см., например, Медведовский И.Д. и др. Атака на Internet. - M.: ДМК, 1999. - 336 с.: ил.).

Известен также способ, позволяющий по изменению состояния объекта защиты обнаруживать несанкционированные воздействия, по патенту РФ №2134897, кл. G 06 F 17/40, "Способ оперативного динамического анализа состояний многопараметрического объекта", заявл. 20.08.1999. В известном способе преобразуют результаты допусковой оценки разнородных динамических параметров в соответствующие информационные сигналы с обобщением по всему множеству параметров в заданном временном интервале и определяют относительную величину и характер изменения интегрального состояния многопараметрического объекта.

Недостатком данного способа является узкая область применения, обусловленная тем, что, несмотря на возможность оперативной диагностики технического и функционального состояний многопараметрического объекта, для обнаружения несанкционированных воздействий в ВС данный способ недостаточно эффективен, т.к. в нем применяют ограниченную совокупность признакового пространства, что создает условия для пропуска несанкционированных воздействий и деструктивного воздействия удаленных атак (см. Медведовский И.Д. и др. Атака на Internet. - М.: ДМК, 1999.-336 с.: ил.).

Наиболее близким по своей технической сущности к заявленному является способ обнаружения несанкционированных воздействий в ВС, реализованный в устройстве по патенту РФ №2219577, "Устройство поиска информации", кл. G 06 F 17/40, заявл. 24.04.2002. Способ-прототип заключается в том, что принимают из канала связи i-й пакет, где i=1, 2, 3,... и запоминают его. Принимают (i+1)-й пакет, запоминают его. Выделяют из заголовка 1-го и (i+1)-го пакетов идентификационные признаки (идентификаторы). Затем анализируют пакеты на предмет совпадения выделенных идентификаторов (i+1)-го пакета с идентификаторами i-го пакета и по результатам анализа принимают решение о факте наличия несанкционированного воздействия.

По сравнению с аналогами способ-прототип может быть использован в более широкой области, когда не только определяется тип протокола, анализируется состояние контролируемого объекта, но и учитываются правила установления и ведения сеанса связи, что необходимо для повышения устойчивости функционирования ВС в условиях деструктивных воздействий удаленных атак, проявляющихся в появлении несанкционированных соединений.

Недостатком прототипа является относительно низкая достоверность обнаружения (распознавания) несанкционированных воздействий в ВС, а именно распознается только один тип несанкционированного воздействия (атаки) - "шторм⁶" ложных запросов на установление соединения. Это определяется тем, что сравниваются только два пакета сообщений - последующий и предыдущий, причем факт появления несанкционированного воздействия определяется лишь при совпадении выделенных идентификаторов двух последовательно принятых пакетов, что является недостаточным для достоверного определения факта наличия несанкционированного воздействия в ВС. Также в прототипе не рассматривается разделение контроля санкционированных и несанкционированных соединений.

Целью заявленного технического решения является разработка способа защиты вычислительных сетей от несанкционированных воздействий, обеспечивающего повышение достоверности обнаружения (распознавания) несанкционированных воздействий в ВС за счет предварительного задания перечня санкционированных соединений как совокупности опорных идентификаторов соединений, введения коэффициента актуальности опорных идентификаторов санкционированных соединений, перечня наименований санкционированных процессов, формирования перечня и подсчета появлений несанкционированных соединений, принятых в процессе контроля, за счет введения максимально допустимого количества появлений любого из всех принимаемых несанкционированных соединений, что необходимо для обеспечения устойчивого функционирования ВС, заключающегося в своевременном и достоверном предоставлении сервисных возможностей санкционированным абонентам, а также обеспечения целостности, доступности и конфиденциальности обрабатываемой информации. Здесь и далее под идентификаторами соединений понимаются поля анализируемых пакетов сообщений, которые содержат сетевые IP-адреса и номера портов отправителя и получателя пакетов сообщений, а под коэффициентом актуальности опорного идентификатора понимают некоторый коэффициент, имеющий числовое значение, изменение которого в меньшую сторону означает снижение актуальности идентификатора.

Поставленная цель достигается тем, что в известном способе защиты ВС от несанкционированных воздействий, заключающемся в том, что принимают из канала связи последовательно пакеты сообщений с номерами k=1, 2, 3..., выделяют из заголовка каждого принятого пакета сообщений его идентификационные признаки, анализируют их и по результатам анализа принимают решение о наличии несанкционированного воздействия, предварительно задают N≥1 опорных идентификаторов санкционированных соединений и устанавливают для всех опорных идентификаторов первоначальный уровень коэффициента актуальности Z_ОП. Устанавливают М≥1 наименований санкционированных процессов и максимально допустимое число К_max появлений любого из принимаемых несанкционированных соединений, причем число K_i появлений i-го несанкционированного соединения, где i=1, 2, 3,... - номер очередного несанкционированного соединения, отличающегося от других ранее принятых несанкционированных соединений. Затем, после приема из канала связи очередного k-го пакета сообщений и выделения из его заголовка идентификационных признаков, в качестве которых принимают идентификатор соединения, анализируют его. Для этого сравнивают выделенный идентификатор принятого пакета сообщений с предварительно запомненными опорными идентификаторами санкционированных соединений. При совпадении выделенного идентификатора с одним из опорных идентификаторов уменьшают на единицу значения коэффициентов актуальности, принадлежащих всем остальным опорным идентификаторам, после чего из предварительно заданной совокупности опорных идентификаторов удаляют те из них, значение коэффициента актуальности которых после их уменьшения на единицу равно нулю. После этого принимают очередной (к+1)-й пакет сообщений и повторяют указанные действия. А при несовпадении выделенного из k-го пакета сообщений идентификационного признака с предварительно запомненными опорными идентификаторами запоминают его идентификационный признак, значение коэффициента актуальности всех опорных идентификаторов уменьшают на единицу, после чего удаляют из совокупности опорных идентификаторов те из них, значения коэффициентов актуальности которых равны нулю. Затем сравнивают выделенный из k-го пакета сообщений идентификационный признак с совокупностью ранее запомненных идентификаторов, выделенных из предыдущих принятых пакетов сообщений и не совпавших с совокупностью опорных идентификаторов. При отсутствии совпадения выделенного из k-го пакета сообщений идентификатора запоминают его и присваивают ему i-й номер, и число его появлений К_i увеличивают на единицу. Причем при выполнении условия K_i≥K_max дополнительно сравнивают адрес отправителя k-го пакета сообщений с адресами отправителей в составе опорных идентификаторов. При отсутствии адреса отправителя среди опорных идентификаторов санкционированных соединений принимают решение о несанкционированном воздействии, блокируют источник несанкционированного воздействия, отправивший k-й пакет сообщений, и вновь присваивают числу К_i появлений данного несанкционированного соединения нулевое значение. А при совпадении адреса отправителя k-го пакета сообщений с адресами в составе опорных идентификаторов формируют запрос отправителю на указание наименования процесса и принимают ответ отправителя. При наличии указанного наименования процесса в составе предварительно заданных санкционированных процессов в состав ранее запомненных опорных идентификаторов включают в качестве опорного дополнительный идентификатор санкционированного соединения и присваивают его коэффициенту актуальности первоначальное значение Z_ОП. А при отсутствии в составе санкционированных процессов наименования процесса указанного в ответе отправителя k-го пакета сообщений принимают решение о несанкционированном воздействии, блокируют источник несанкционированного воздействия, отправивший k-й пакет сообщений, и присваивают числу К_i появлений данного несанкционированного соединения нулевое значение. А при совпадении идентификационного признака, выделенного из k-го пакета сообщений, с предварительно запомненными идентификаторами, отсутствующими в совокупности опорных идентификаторов, увеличивают число его появлений на единицу, и при значении количества появлений K_i<K_max принимают очередной (k+1)-й пакет сообщений и повторяют указанные действия по выделению из заголовка (k+1)-го пакета сообщений идентификационного признака и его анализу.

Повышение достоверности обнаружения (распознавания) несанкционированных воздействий в ВС в заявленном способе обеспечивается благодаря новой совокупности существенных признаков за счет предварительного задания перечня санкционированных соединений как совокупности опорных идентификаторов соединений и введения коэффициента актуальности для каждого опорного идентификатора, а также задания перечня наименований санкционированных процессов, формирования перечня и подсчета появлений каждого из несанкционированных соединений, принятых в процессе контроля, и за счет введения максимально допустимого количества появлений каждого несанкционированного соединения из всей совокупности принимаемых несанкционированных соединений, что необходимо для обеспечения устойчивого функционирования ВС, заключающегося в предоставлении сервисных возможностей санкционированным абонентам, а также обеспечении целостности, доступности и конфиденциальности обрабатываемой информации, так как узлы ВС обладают уязвимостями⁷ программного обеспечения, подвергаются преднамеренным деструктивным воздействиям удаленных компьютерных атак, признаками наличия которых являются несанкционированные соединения, а высокая пропускная способность современных СПД значительно расширяет деструктивные возможности удаленных атак.

Проведенный анализ уровня техники позволил установить, что аналоги, характеризующиеся совокупностью признаков, тождественных всем признакам заявленного технического решения, отсутствуют, что указывает на соответствие заявленного устройства условию патентоспособности "новизна". Результаты поиска известных решений в данной и смежных областях техники с целью выявления признаков, совпадающих с отличительными от прототипа признаками заявленного объекта, показали, что они не следуют явным образом из уровня техники. Из уровня техники также не выявлена известность влияния предусматриваемых существенными признаками заявленного изобретения преобразований на достижение указанного технического результата. Следовательно, заявленное изобретение соответствует условию патентоспособности "изобретательский уровень".

Заявленный способ поясняется чертежами, на которых показаны:

фиг.1 - иерархия протоколов семейства TCP/IP;

фиг.2 - структура заголовков IP- и ТСР-пакетов сообщений;

фиг.3 - блок-схема алгоритма, реализующего заявленный способ защиты вычислительных сетей от несанкционированных воздействий;

фиг.4 - таблица опорных идентификаторов;

фиг.5 - рисунок, поясняющий реализацию заявленного способа на уровне контроля соединений;

фиг.6 - рисунок, поясняющий появление несанкционированного соединения;

фиг.7 - рисунок, поясняющий изменение коэффициентов актуальности санкционированных соединений.

Известно, что для обеспечения информационной безопасности необходимо с высокой достоверностью определять факты несанкционированных воздействий на ВС, признаками наличия которых являются несанкционированные соединения. Кроме того, несанкционированные соединения могут являться признаками наличия вредоносного программного обеспечения (ПО) и нарушения политики безопасности⁸ санкционированными пользователями. Таким образом, обнаружение несанкционированных воздействии реализуется путем обнаружения несанкционированных соединений. Существующие технические решения не позволяют достичь указанных целей. Деструктивные возможности удаленных атак и вредоносных программ связаны с тем, что большинство из них напрямую нацелены на слабые места средств защиты, уязвимости операционных систем и системных приложений (см., например, Корнеев И.Р., Беляев А.В. Информационная безопасность предприятия. - СПб.: БХВ-Петербург, 2003.-752 с.: ил. стр.115-123), составляющих материальную основу узлов ВС, обрабатывающих запросы на обслуживание от санкционированных абонентов и обладающих ограниченной вычислительной мощностью по обработке запросов и ограниченной длиной очереди запросов. Кроме того, полезная пропускная способность СПД, входящих в ВС, значительно уменьшается за счет появления несанкционированных соединений. В свою очередь, устаревшая информация о санкционированных объектах и субъектах доступа снижает эффективность средств защиты и их быстродействие.

Существующий механизм создания соединений для организации обмена сообщениями между узлами ВС за счет своей гибкости и универсальности позволяет создавать распределенные приложения. Вследствие этого задача их контроля является трудно формализуемой и требующей разработки новых технических решений. Одной из важнейших причин трудностей формализации является большое количество протоколов, реализованных в семействе TCP/IP. Иерархия семейства протоколов TCP/IP представлена на фиг.1.

Поиск эффективных технических решений повышения достоверности обнаружения (распознавания) несанкционированных воздействий может быть осуществлен путем предварительного задания перечня санкционированных соединений как совокупности опорных идентификаторов санкционированных соединений и введения коэффициентов актуальности для каждого опорного идентификатора, задания перечня наименований санкционированных процессов, формирования перечня несанкционированных соединений, принятых в процессе контроля, а также за счет введения максимально допустимого числа появлений любого из принимаемых несанкционированных соединений. Здесь и далее под опорными идентификаторами понимают совокупность предварительно запомненных опорных идентификаторов санкционированных соединений. Чувствительность системы контроля соединений в ВС определяется коэффициентом актуальности опорных идентификаторов и максимально допустимым числом появлений любого из принимаемых несанкционированных соединений. Значение показателя максимально допустимого количества появлений несанкционированных соединений (критерий обнаружения несанкционированных соединений) может выбираться в зависимости от требуемой своевременности обнаружения несанкционированного соединения и с учетом качества СПД ВС. А значения коэффициентов актуальности опорных идентификаторов могут выбираться в зависимости от подверженности изменениям в отношениях объектов и субъектов доступа данной защищаемой ВС.

Заявленный способ реализуют следующим образом. Структура пакетов сообщений известна (см., например, Кульгин М. Технологии корпоративных сетей. Энциклопедия. - СПб.: Издательство "Питер", 1999. - 704 с.: ил.), как известен и принцип передачи пакетов в ВС, что дает возможность анализа идентификаторов обоих участников соединения и формирования опорных идентификаторов. Например, на фиг.2 представлены структуры заголовков IP- и TCP-пакетов сообщений. Полужирным шрифтом выделены поля идентификаторов соединений, по которым определяют сетевые адреса отправителя и получателя пакетов сообщений, а также их порты.

На фиг.3 представлена блок-схема алгоритма, реализующего заявленный способ защиты вычислительных сетей от несанкционированных воздействий, в которой приняты следующие обозначения:

Z_оп - первоначальный уровень коэффициента актуальности всех опорных идентификаторов;

ID_пр - идентификатор принятого пакета сообщений;

ID_оп - опорный идентификатор;

{ID_оп} - совокупность опорных идентификаторов;

Z_j - коэффициент актуальности j-го опорного идентификатора;

{IDнс} - совокупность запомненных идентификаторов несанкционированных соединений;

IP_пр - адрес принятого пакета сообщений;

{IP_оп} - совокупность адресов санкционированных абонентов, находящихся в списке опорных идентификаторов;

М_пр - наименование процесса-инициатора несанкционированного соединения;

{М_оп} - множество наименований санкционированных процессов.

Предварительно задают (см. блок 1 на фиг.3) совокупность из N≥1 опорных идентификаторов санкционированных соединений, каждый из которых включает адреса и номера портов отправителя и получателя, и устанавливают для всех опорных идентификаторов первоначальный уровень коэффициента актуальности Z_оп. Затем устанавливают М≥1 наименований санкционированных процессов и максимально допустимое число К_max появлений любого из принимаемых несанкционированных соединений. Причем число K_i появлений i-го несанкционированного соединения, где i=1, 2, 3... номер очередного несанкционированного соединения, отличающегося от других ранее принятых несанкционированных соединений, в начале работы ВС принимают равным нулю.

Из канала связи принимают (см. блок 2 на фиг.3) k-й пакет сообщения, где k<1, 2, 3..., и выделяют (см. блок 3 на фиг.3) из заголовка принятого пакета идентификационные признаки, в качестве которых принимают идентификатор соединения. Затем сравнивают (см. блок 4 на фиг.3) выделенные идентификаторы с опорными. Совпадение при этой проверке означает, что принятый пакет сообщений относится к санкционированному соединению. Далее уменьшают (см. блок 5 на фиг.3) на единицу значения коэффициентов актуальности, принадлежащих всем опорным идентификаторам, кроме совпавшего с выделенным из принятого пакета, после чего из предварительно заданной совокупности опорных идентификаторов удаляют те из них, значение коэффициента актуальности которых после их уменьшения на единицу равно нулю. После этого принимают следующий (k+1)-й пакет сообщений (см. блок 8 на фиг.3).

При отсутствии совпадения выделенного идентификатора с предварительно запомненными опорными идентификаторами запоминают выделенный идентификатор и значение коэффициента актуальности всех опорных идентификаторов уменьшают (см. блок 9 на фиг.3) на единицу, после чего удаляют (см. блок 11 на фиг.3) из совокупности опорных идентификаторов те из них, значения коэффициентов актуальности которых равны нулю. Затем сравнивают выделенный из (k+1)-го пакета сообщений идентификационный признак с совокупностью ранее запомненных идентификаторов, выделенных из предыдущих принятых пакетов сообщений и не совпавших с совокупностью опорных идентификаторов.

При отсутствии совпадения выделенного из (k+1)-го пакета сообщений идентификатора запоминают (см. блок 13 на фиг.3) его и присваивают ему i-й номер, а число его появлений К_i увеличивают на единицу. Причем при выполнении условия К_i>К_max дополнительно сравнивают (см. блок 17 на фиг.3) адрес отправителя (k+1)-го пакета сообщений с адресами отправителей в составе опорных идентификаторов. При отсутствии адреса отправителя (k+1)-го пакета сообщений среди адресов отправителей в составе опорных идентификаторов принимают решение о несанкционированном воздействии, блокируют (см. блок 23 на фиг.3) источник несанкционированного воздействия, отправивший (k+1)-й пакет сообщений, и вновь присваивают числу К_i появлений данного несанкционированного соединения нулевое значение.

При совпадении адреса отправителя (k+1)-го пакета сообщений с адресами в составе опорных идентификаторов формируют (см. блок 18 на фиг.3) запрос отправителю на указание наименования процесса, инициировавшего данное соединение. Это связано с тем, что в случае обнаружения несанкционированного ИП требуется дополнительная проверка, т.к. при установлении активного соединения в семействе протоколов TCP/IP может быть выбран любой порт из диапазона 0..65535 (см., например, Золотов С. Протоколы Internet - СПб.: BHV - Санкт-Петербург, 1998. - 304 с., ил.), следовательно, необходимо определить, является ли процесс-инициатор соединения санкционированным. Для этого принимают ответ отправителя на запрос и при наличии указанного наименования процесса-инициатора в составе предварительно заданных санкционированных процессов в состав ранее запомненных опорных идентификаторов включают в качестве опорного (см. блок 21 на фиг.3) дополнительный идентификатор санкционированного соединения и присваивают его коэффициенту актуальности первоначальное значение Z_оп. А при отсутствии в составе санкционированных процессов наименования процесса, указанного в ответе отправителя (k+1)-го пакета сообщений, принимают решение о несанкционированном воздействии. После этого блокируют (см. блок 23 на фиг.3) источник несанкционированного воздействия, отправивший (k+1)-й пакет сообщений, и присваивают числу К_i появлений данного несанкционированного соединения нулевое значение.

При совпадении идентификационного признака, выделенного из (k+1)-го пакета сообщений, с предварительно запомненными идентификаторами, отсутствующими в совокупности опорных идентификаторов, увеличивают (см. блок 15 на фиг.3) число его появлений на единицу, и при значении количества появлений K_i<K_max принимают (см. блок 8 на фиг.3) очередной (k+1)-й пакет сообщений и повторяют указанные действия по выделению из заголовка (k+1)-го пакета сообщений идентификационного признака и его анализу.

Возможность реализации сформулированного технического результата была проверена путем машинного моделирования обнаружения несанкционированных соединений и контроля актуальности опорных санкционированных соединений заявленным способом. На фиг.4 представлены исходные данные для моделирования (эксперимента), в качестве которых выступают идентификаторы санкционированных соединений (IP - сетевой адрес объекта/субъекта доступа, Р - порт объекта/субъекта доступа), приведенные в таблице 1, а также опорное значение коэффициента актуальности опорных идентификаторов (Z_оп=500), наименования санкционированных процессов (explorer. exe) и допустимое количество появлений любого из принимаемых несанкционированных соединений (K_max=1).

В результате проведенного эксперимента были выявлены следующие типы соединений:

- санкционированные соединения, идентификаторы которых, как видно на фиг.5 (рис.1 и таблица 1), совпадают с опорными;

- соединения, источниками которых являются санкционированные абоненты, но идентификаторы этих соединений не совпадают с опорными (см. рис.2 и таблица 1 на фиг.5). Такие соединения могут после определения процесса-инициатора быть блокированы, либо их идентификаторы будут дополнительно внесены к опорным;

- соединения, источниками которых являются несанкционированные абоненты (см. рис.1 и табл. 1 на фиг.6). Такие соединения являются несанкционированными и должны быть блокированы.

В начале работы модели все санкционированные соединения имели опорные идентификаторы с коэффициентом актуальности, равным Z_оп=500, как это видно на фиг.7 (момент времени t1). Однако в течение работы системы актуальность опорных соединений была подвержена коррекции (моменты времени t2, t3, t4). Среди представленных санкционированных соединений отображены соединения, актуальность которых снизилась до нуля (соединения 6, 11). Идентификаторы таких соединений были удалены из списка опорных идентификаторов. В то же время в течение работы системы были выявлены новые санкционированные соединения (соединения 13, 14, 15), идентификаторы которых были дополнительно внесены в список опорных, и их коэффициентам актуальности было присвоено опорное значение Z_оп.

Из представленных результатов следуют выводы: при предварительном задании опорных идентификаторов санкционированных соединений и их коэффициентов актуальности, а также наименований санкционированных процессов-инициаторов санкционированных соединений и максимально допустимого количества появлений любого из принимаемых несанкционированных воздействий, учитываемых системой распознавания, заявленный способ, как видно из описания модели и фиг.7, обеспечивает повышение достоверности обнаружения несанкционированных воздействий в ВС, а также увеличение быстродействия системы обнаружения несанкционированных воздействий по сравнению с другими аналогичными системами, за счет удаления из списка опорных идентификаторов устаревших (неактуальных) идентификаторов и, следовательно, сокращения времени анализа каждого принимаемого пакета сообщений.

Дополнительным свойством заявленный способ обеспечивает обнаружение несанкционированных воздействий в ВС не только на этапе реализации деструктивных действий, но и, что очень важно (см., например, Лукацкий А.В. Обнаружение атак. - СПб.: БХВ - Петербург, 2001. - 624 с.: ил. на стр.51), на этапе сбора информации о ВС нарушителем, так как при этом возникают несанкционированные соединения. Также к дополнительным положительным свойствам способа можно причислить увеличение быстродействия системы обнаружения несанкционированных воздействий по сравнению с аналогичными системами, основанными на сигнатурных методах выявления несанкционированных воздействий, за счет контроля легитимности соединений вместо сопоставления каждого пакета сообщений с базой данных сигнатур известных атак.

Перечень используемых терминов

1. Атака - практическая реализация угрозы или попытка ее реализации с использованием той или иной уязвимости [Конеев И.Р., Беляев А.В. Информационная безопасность предприятия. - СПб.: БХВ-Петербург, 2003. - 752 с.: ил. на стр.30].

2. Достоверность - степень объективного соответствия результатов диагностирования (контроля) действительному техническому состоянию объекта [Кузнецов В.Е., Лихачев А.М., Паращук И.Б., Присяжнюк С.П. Телекоммуникации. Толковый словарь основных терминов и сокращений. Под редакцией А.М. Лихачева, С.П. Присяжнюка. СПб.: Издательство МО РФ, 2001].

3. Целостность - свойство информации при ее обработке техническими средствами, обеспечивающее предотвращение ее несанкционированной модификации или несанкционированного уничтожения [Терминология в области защиты информации. Справочник. Москва 1993. ВНИИстандарт].

4. Доступность - свойство при ее обработке техническими средствами, обеспечивающее беспрепятственный доступ к ней для проведения санкционированных операций по ознакомлению, документированию, модификации и уничтожению [Терминология в области защиты информации. Справочник. Москва 1993. ВНИИстандарт].

5. Конфиденциальность - свойство информации при ее обработке техническими средствами, обеспечивающее предотвращение несанкционированного ознакомления с ней или несанкционированного документирования (снятия копий) [Терминология в области защиты информации. Справочник. Москва 1993. ВНИИстандарт].

6. Шторм - передача на объект атаки как можно большего числа ложных ТСР-запросов на создание от имени любого хоста [Медведовский И.Д. и др. Атака на Internet. - М.: ДМК, 1999. - 336 с.: ил. на стр.121].

7. Уязвимость - некая слабость, которую можно использовать для нарушения системы или содержащейся в ней информации [Информационная безопасность и защита информации. Сборник терминов и определений. Государственная техническая комиссия России, 2001 г.].

8. Политика безопасности - набор формальных (официально утвержденных либо традиционно сложившихся) правил, которые регламентируют функционирование механизма информационной безопасности [Конеев И.Р., Беляев А.В. Информационная безопасность предприятия. - СПб.: БХВ-Петербург, 2003. - 752 с.: ил. на стр.30].

Иллюстрации к изобретению RU 2 271 613 C1

Реферат патента 2006 года СПОСОБ ЗАЩИТЫ ВЫЧИСЛИТЕЛЬНЫХ СЕТЕЙ ОТ НЕСАНКЦИОНИРОВАННЫХ ВОЗДЕЙСТВИЙ

Изобретение относится к электросвязи и может быть использовано в системах обнаружения атак с целью оперативного выявления и блокирования несанкционированных воздействий в вычислительных сетях, в частности в сети передачи данных (СПД) типа "Internet". Техническим результатом является повышение достоверности обнаружения (распознавания) несанкционированных воздействий в вычислительных сетях. Для этого предварительно задают перечень санкционированных соединений как совокупности опорных идентификаторов соединений, вводят коэффициент актуальности опорных идентификаторов санкционированных соединений, перечень наименований санкционированных процессов, формируют перечень и подсчитывают появления несанкционированных соединений, принятых в процессе контроля, за счет введения максимально допустимого количества появлений любого из всех принимаемых несанкционированных соединений. 7 ил.

Формула изобретения RU 2 271 613 C1

Способ защиты вычислительных сетей от несанкционированных воздействий, заключающийся в том, что принимают из канала связи последовательно пакеты сообщений с номерами k=1, 2, 3..., выделяют из заголовка каждого принятого пакета сообщений его идентификационные признаки, анализируют их и по результатам анализа принимают решение о наличии или отсутствии несанкционированного воздействия, отличающийся тем, что предварительно задают N≥1 опорных идентификаторов санкционированных соединений, каждый из которых включает адреса и номера портов отправителя и получателя, устанавливают для всех опорных идентификаторов первоначальный уровень коэффициента актуальности Z_оп, устанавливают М≥1 наименований санкционированных процессов и максимально допустимое число К_max появлений любого из принимаемых несанкционированных соединений, причем число К_i появлений i-го несанкционированного соединения, где i=1, 2, 3... номер очередного несанкционированного соединения, отличающегося от других ранее принятых несанкционированных соединений, в начале работы вычислительной сети принимают равным нулю, а после приема очередного k-го пакета сообщений и выделения из его заголовка идентификационных признаков, в качестве которых принимают идентификатор соединения, анализируют его, для чего сравнивают выделенный идентификатор соединения с предварительно запомненными опорными идентификаторами санкционированных соединений и при совпадении его с одним из опорных идентификаторов уменьшают на единицу значения коэффициентов актуальности, принадлежащих всем остальным опорным идентификаторам, после чего из предварительно заданной совокупности опорных идентификаторов удаляют те из них, значение коэффициента актуальности которых после их уменьшения на единицу равно нулю, а при несовпадении выделенного из k-го пакета сообщений идентификационного признака с предварительно запомненными опорными идентификаторами запоминают выделенный из k-го пакета сообщений идентификационный признак, значение коэффициента актуальности всех опорных идентификаторов уменьшают на единицу, после чего удаляют из совокупности опорных идентификаторов те из них, значения коэффициентов актуальности которых равны нулю, затем сравнивают выделенный из k-го пакета сообщений идентификационный признак с совокупностью ранее запомненных идентификаторов, выделенных из предыдущих принятых пакетов сообщений и не совпавших с совокупностью опорных идентификаторов, при отсутствии совпадения выделенного из k-го пакета сообщений идентификатора запоминают его и присваивают ему i-й номер и число его появлений К_i увеличивают на единицу, причем при выполнении условия К_i≥К_max дополнительно сравнивают адрес отправителя k-го пакета сообщений с адресами отправителей в составе опорных идентификаторов и при его отсутствии среди них принимают решение о несанкционированном воздействии, блокируют источник несанкционированного воздействия, отправивший k-й пакет сообщений, и вновь присваивают числу К_i появлений данного несанкционированного соединения нулевое значение, а при совпадении адреса отправителя k-го пакета сообщений с адресами в составе опорных идентификаторов формируют запрос отправителю на указание наименования процесса, принимают ответ отправителя и при наличии указанного наименования процесса в составе предварительно заданных санкционированных процессов в состав ранее запомненных опорных идентификаторов включают в качестве опорного дополнительный идентификатор санкционированного соединения и присваивают его коэффициенту актуальности первоначальное значение Z_он, а при отсутствии в составе санкционированных процессов наименования процесса указанного в ответе отправителя k-го пакета сообщений принимают решение о несанкционированном воздействии, блокируют источник несанкционированного воздействия, отправивший k-й пакет сообщений, и присваивают числу К_i появлений данного несанкционированного соединения нулевое значение, при совпадении идентификационного признака выделенного из k-го пакета сообщений с предварительно запомненными идентификаторами, отсутствующими в совокупности опорных идентификаторов, увеличивают число его появлений на единицу и при значении количества появлений K_i<K_max принимают очередной (k+1)-й пакет сообщений и повторяют указанные действия по выделению из заголовка (k+1)-го пакета сообщений идентификационного признака и его анализу.

Документы, цитированные в отчете о поиске Патент 2006 года RU2271613C1

УСТРОЙСТВО ПОИСКА ИНФОРМАЦИИ

2002

Ксёнз Е.С.
Липатников В.А.
Максимов Р.В.
Стародубцев Ю.И.
Федяков Е.Г.
Хлыбов Д.Л.

RU2219577C1

RU 2 271 613 C1

Авторы

Андриенко Анатолий Афанасьевич

Верещагин Владимир Леонидович

Колбасова Галина Сергеевна

Костырев Андрей Леонидович

Максимов Роман Викторович

Павловский Антон Владимирович

Терин Вячеслав Викторович

Даты

2006-03-10—Публикация

2004-09-15—Подача

название	год	авторы	номер документа
СПОСОБ ЗАЩИТЫ ВЫЧИСЛИТЕЛЬНЫХ СЕТЕЙ ОТ НЕСАНКЦИОНИРОВАННЫХ ВОЗДЕЙСТВИЙ	2005	Андриенко Анатолий Афанасьевич Галанов Алексей Игоревич Костырев Андрей Леонидович Максимов Роман Викторович Орлов Евгений Васильевич Павловский Антон Владимирович Танасюк Валерий Анатольевич Ульянов Юрий Борисович	RU2279124C1
СПОСОБ КОНТРОЛЯ ИНФОРМАЦИОННЫХ ПОТОКОВ В ЦИФРОВЫХ СЕТЯХ СВЯЗИ	2004	Андриенко А.А. Куликов О.Е. Костырев А.Л. Максимов Р.В. Павловский А.В. Лебедев А.Ю. Колбасова Г.С.	RU2267154C1
СПОСОБ (ВАРИАНТЫ) ЗАЩИТЫ ВЫЧИСЛИТЕЛЬНЫХ СЕТЕЙ	2006	Выговский Леонид Сергеевич Заргаров Иван Артемович Кожевников Дмитрий Анатольевич Максимов Роман Викторович Павловский Антон Владимирович Стародубцев Юрий Иванович Худайназаров Юрий Кахрамонович Юров Игорь Александрович	RU2307392C1
СПОСОБ ЗАЩИТЫ ВЫЧИСЛИТЕЛЬНЫХ СЕТЕЙ ОТ КОМПЬЮТЕРНЫХ АТАК, НАПРАВЛЕННЫХ НА РАЗЛИЧНЫЕ УЗЛЫ И ИНФОРМАЦИОННЫЕ РЕСУРСЫ	2021	Карайчев Сергей Юрьевич Бухарин Владимир Владимирович Никитин Александр Сергеевич Пикалов Евгений Дмитриевич Васечкин Евгений Александрович Стус Александр Александрович	RU2782704C1
СПОСОБ ЗАЩИТЫ ВЫЧИСЛИТЕЛЬНЫХ СЕТЕЙ НА ОСНОВЕ АДАПТИВНОГО ВЗАИМОДЕЙСТВИЯ	2019	Бухарин Владимир Владимирович Казачкин Антон Владимирович Карайчев Сергей Юрьевич Дамм Виктор Александрович Булгаков Сергей Иванович	RU2715165C1
СПОСОБ ЗАЩИТЫ ВЫЧИСЛИТЕЛЬНЫХ СЕТЕЙ С ИДЕНТИФИКАЦИЕЙ НЕСКОЛЬКИХ ОДНОВРЕМЕННЫХ АТАК	2019	Бухарин Владимир Владимирович Казачкин Антон Владимирович Карайчев Сергей Юрьевич Сысоев Павел Анатольевич Васечкин Евгений Александрович	RU2739206C1
СПОСОБ ЗАЩИТЫ ВЫЧИСЛИТЕЛЬНЫХ СЕТЕЙ НА ОСНОВЕ ЛЕГЕНДИРОВАНИЯ	2023	Бухарин Владимир Владимирович Карайчев Сергей Юрьевич Никитин Александр Сергеевич Курчатов Максим Сергеевич Королёв Михаил Викторович Сысоев Павел Анатольевич Мельников Дмитрий Геннадьевич	RU2814463C1
СПОСОБ ЗАЩИТЫ ВЫЧИСЛИТЕЛЬНЫХ СЕТЕЙ	2018	Бухарин Владимир Владимирович Карайчев Сергей Сергеевич Казачкин Антон Владимирович Таранов Алексей Борисович Ступаков Игорь Георгиевич	RU2696549C1
Способ обнаружения дестабилизирующих воздействий на вычислительные сети	2015	Андреянов Сергей Николаевич Марусов Дмитрий Валентинович Семенов Сергей Сергеевич Стукалов Игорь Владиславович Трусков Станислав Сергеевич	RU2611243C1
СПОСОБ ЗАЩИТЫ ВЫЧИСЛИТЕЛЬНЫХ СЕТЕЙ	2012	Баленко Ольга Александровна Бухарин Владимир Владимирович Васинев Дмитрий Александрович Кирьянов Александр Владимирович Стародубцев Юрий Иванович Стукалов Игорь Владиславович	RU2475836C1