УСТРОЙСТВО ПОИСКА ИНФОРМАЦИИ Российский патент 2011 года по МПК H04L12/28 G06F17/30 

Описание патента на изобретение RU2417537C1

Изобретение относится к области электросвязи и может быть использовано для поиска информации и оперативной идентификации стека коммуникационных протоколов TCP/IP, применяемого в цифровых системах связи, в частности в сети передачи данных типа "Internet".

Известно устройство поиска информации по патенту РФ №2219577, G06F 17/40, заявленном 24.04.2002, содержащее делитель частоты, два блока памяти, вычитающий счетчик, четыре блока дешифрации, четыре счетчика, четыре блока приема адреса, два блока сравнения, два дешифратора и блок индикации.

Данное устройство имеет недостаток - узкую область применения, поэтому предназначено только для анализа сравнительно небольшого количества параметров проходящих через него потоков, что приводит к неустойчивому функционированию автоматизированных систем в условиях несанкционированного информационного воздействия и ограничивает область его применения в сетях передачи данных типа "Internet" в условиях несанкционированного воздействия (информационных атак).

Наиболее близким по технической сущности (прототипом) является устройство поиска информации, содержащее два блока памяти, девять счетчиков, одиннадцать блоков дешифрации, блок сравнения, блок управления и блок индикации, патент 2301443, опубликованный 20.06.2007. Вход первого блока памяти является входом устройства поиска информации, а его выход подключен к информационному входу первого блока дешифрации, второй вход которого подключен к первому счетчику, а выход дешифратора - к входу второго счетчика, первый выход которого соединен с вторым входом второго блока дешифрации, первый вход которого подключен к выходу первого блока памяти. Выход второго блока дешифрации соединен с входом второго блока памяти, а выход второго счетчика соединен с входом третьего счетчика, выход которого соединен с первым входом третьего блока дешифрации, второй вход которого подключен к выходу первого блока памяти. Первый и второй выходы третьего блока дешифрации подключены к входам четвертого и пятого счетчиков. Выход счетчика подключен к первому входу пятого блока дешифрации, второй вход которого соединен с выходом первого блока памяти, выход пятого блока дешифрации соединен с вторым входом блока сравнения, первый вход которого подключен через четвертый блок дешифрации к выходу четвертого счетчика, причем второй вход четвертого блока дешифрации соединен с выходом первого блока памяти. Входы блока управления подключены к второму выходу первого блока дешифрации, к третьему выходу третьего блока дешифрации, к второму выходу блока сравнения, к второму выходу шестого блока дешифрации, к первому выходу седьмого блока дешифрации, к выходу восьмого блока дешифрации, к выходу девятого блока дешифрации, к первому выходу десятого блока дешифрации, к двум выходам одиннадцатого блока дешифрации. Одиннадцатый выход блока управления подключен к входу первого счетчика и к первому блоку памяти, двенадцатый выход блока управления - к первому блоку памяти, тринадцатый выход - к входу блока индикации. Выход второго блока памяти соединен с первым входом шестого счетчика, второй вход которого подключен к выходу первого блока сравнения, а выход шестого счетчика соединен с входом шестого блока дешифрации, первый выход которого соединен с входом седьмого счетчика, выход которого подключен к входу седьмого блока дешифрации, второй выход которого соединен с входом восьмого счетчика, выход которого подключен к первым входам десятого, восьмого и девятого блоков дешифрации, вторые входы каждого из которых соединены с выходом первого блока памяти. Вторые входы шестого, седьмого и одиннадцатого блоков дешифрации соединены с выходом первого блока памяти, а второй выход десятого блока дешифрации соединен с входом девятого счетчика, выход которого подключен к первому входу одиннадцатого блока дешифрации. Блок индикации является выходом устройства.

К недостаткам устройства - прототипа относится анализ сравнительно небольшого количества параметров проходящих через него потоков, основанный на сигнатурном методе, что приводит к неустойчивому функционированию автоматизированных систем в условиях несанкционированного информационного воздействия.

Задачей изобретения является разработка устройства поиска информации, обеспечивающего расширенную область применения за счет анализа протоколов, учета правил установления и ведения сеанса связи, а именно за счет выявления случаев аномального возрастания количества запросов на установление соединения, выявления случаев аномального увеличения входящего графика, выявления сканирования, проводимого в сети, определения достоверности используемого источником IP адреса и выявления случаев установки запрещенных комбинаций флагов.

Эта задача достигается тем, что в известное устройство поиска информации, содержащее счетчики, дешифраторы, блоки памяти, первый блок сравнения, блок управления и блок индикации, который подключен к первому выходу блока управления, второй выход которого соединен с управляющим входом первого блока памяти, адресный вход которого является входом устройства, выход данных первого блока памяти подключен к адресным входам всех дешифраторов, причем выход первого счетчика соединен с входом данных первого дешифратора, первый выход которого подключен к входу разрешения счета второго счетчика, а второй выход первого дешифратора соединен с первым входом блока управления, первый выход второго счетчика через второй дешифратор подключен к входу разрешения записи второго блока памяти, выход которого соединен с первым входом шестого счетчика, второй выход второго счетчика подключен к входу разрешения счета третьего счетчика, дополнительно введены десятый счетчик, третий, четвертый, пятый, шестой, седьмой, восьмой блоки памяти, второй блок сравнения, элемент 2И, блок "запросов", вырабатывающий сигнал об обнаружении аномального количества повторяющихся импульсов на установление соединения по протоколу TCP, блок "нагрузки", вырабатывающий сигнал об обнаружении аномальной нагрузки в последовательности пакетов IСМР, блок "сканирования SYN", вырабатывающий сигнал об обнаружении сканирования флагом SYN протокола TCP, блок "сканирования FIN", вырабатывающий сигнал об обнаружении сканирования флагом FIN протокола TCP, блок "достоверности", вырабатывающий сигнал об обнаружении не достоверного IP адреса полученного пакета, причем выход третьего счетчика соединен с входом разрешения записи третьего блока памяти, первый выход которого подключен к входу разрешения счета четвертого счетчика, выход которого соединен с входом разрешения записи четвертого блока памяти, выход которого подключен к входу разрешения счета пятого счетчика, выход которого через третий дешифратор соединен с входом разрешения счета седьмого счетчика, выход которого подключен к входу записи пятого блока памяти, первый выход которого соединен с входом разрешения счета восьмого счетчика, выход которого подключен к входу записи шестого блока памяти, первый выход которого соединен с входом предустановки шестого счетчика, выход которого подключен к входу разрешения записи седьмого блока памяти, первый выход которого соединен с входом разрешения счета девятого счетчика, выход которого подключен к входу разрешения записи восьмого блока памяти, первый выход которого подключен к входу разрешения счета десятого счетчика, выход которого соединен с входами данных четвертого, пятого и шестого дешифраторов и подключен к третьему входу блока управления, четвертый вход которого соединен с адресным входом первого блока памяти, второй выход которого подключен к входу разрешения первого счетчика, а выход данных первого блока памяти подключен к входам данных всех других блоков памяти. Выход четвертого дешифратора соединен с входом блока "запросов" и первым входом блока "сканирования SYN", выход которого подключен к пятому входу блока управления, а второй вход блока "сканирования SYN" соединен с вторым входом блока "сканирования FIN", первым входом блока "достоверности", первым входом первого блока сравнения и подключен ко второму выходу пятого блока памяти, выход пятого дешифратора соединен с первым входом блока "сканирования FIN", выход которого соединен с шестым входом блока управления, к седьмому входу которого подключен выход блока "запросов", а восьмой вход блока управления подключен к выходу блока нагрузки, первый вход которого соединен с вторым выходом третьего блока памяти, а второй вход блока нагрузки соединен с вторым выходом третьего дешифратора и подключен к второму входу блока управления, третий выход которого соединен с тактовыми входами всех счетчиков импульсов, входы сброса которых объединены и подключены к четвертому выходу блока управления, девятый вход которого соединен с выходом блока "достоверности", второй вход которого соединен с первым выходом первого дешифратора, а третий вход блока "достоверности" подключен к второму выходу четвертого блока памяти, при этом второй выход шестого блока памяти соединен со вторым входом первого блока сравнения, выход которого подключен в первому входу элемента 2И, второй вход которого соединен с выходом второго блока сравнения, первый и второй входы которого подключены соответственно к вторым выходам седьмого и восьмого блоков памяти, а выход элемента 2И соединен с десятым входом блока управления, одиннадцатый вход которого подключен к выходу шестого дешифратора.

Проведенный анализ уровня техники позволил установить, что аналоги, характеризующиеся совокупностью признаков, тождественных всем признакам заявленного технического решения, отсутствуют, что указывает на соответствие заявленного устройства условию патентоспособности «Новизна». Результаты поиска известных решений в данной и смежных областях техники с целью выявления признаков, совпадающих с отличительными от прототипа признаками заявленного объекта, показали, что они не следуют явным образом из уровня техники. Из современного уровня техники также не выявлена известность влияния предусматриваемых существенными признаками заявленного изобретения преобразований на достижение указанного технического результата. Следовательно, заявленное изобретение соответствует условию патентоспособности «Изобретательский уровень».

Заявленное устройство поясняется следующими чертежами:

фиг.1 - структурная схема устройства;

фиг.2 - структурная схема блока «запросов»;

фиг.3 - структурная схема блока «нагрузки»;

фиг.4 - структурная схема блока «сканирования SYN»;

фиг.5 - структурная схема блока «сканирования FIN»;

фиг.6 - структурная схема блока «достоверности»;

фиг.7 - структурная схема блока управления и индикации.

Устройство поиска информации, показанное на фиг.1, содержит первый блок памяти 1, первый счетчик 2, первый 3 и второй 4 блок дешифрации, второй счетчик 5, второй блок памяти 6, третий счетчик 7, третий блок памяти 8, четвертый счетчик 9, четвертый блок памяти 10, пятый счетчик 11, третий блок дешифрации 12, седьмой счетчик 13, пятый блок памяти 14, восьмой счетчик 15, шестой блок памяти 16, шестой счетчик 17, седьмой блок памяти 18, девятый счетчик 19, восьмой блок памяти 20, десятый счетчик 21, четвертый 22, пятый 23 и шестой 24 блоки дешифрации, блок «запросов» 25, блок «нагрузки» 26, блок «сканирования SYN» 27, блок «сканирования FIN» 28, блок «достоверности» 29, первый 30 и второй 31 блоки сравнения, элемент 2И 32, блок управления 33, блок индикации 34.

Адресный вход первого блока памяти 1 является входом устройства, а его управляющий вход соединен с вторым выходом блока управления 33, первый выход которого подключен к входу блока индикации 34. Выход данных первого блока памяти 1 подключен к адресным входам первого 3, второго 4, третьего 12, четвертого 22, пятого 23, шестого 24 дешифраторов. Выход первого счетчика 2 соединен с входом данных первого дешифратора 3, первый выход которого подключен к входу разрешения счета второго счетчика 5, а второй выход первого дешифратора 3 соединен с первым входом блока управления 33, первый выход второго счетчика 5 через второй дешифратор 4 подключен к входу разрешения записи второго блока памяти 6, выход которого соединен с первым входом шестого счетчика 17. Второй выход второго счетчика 5 подключен к входу разрешения счета третьего счетчика 7, выход которого соединен с входом разрешения записи третьего блока памяти 8, первый выход которого подключен к входу разрешения счета четвертого счетчика 9, выход которого соединен с входом разрешения записи четвертого блока памяти 10, первый выход которого подключен к входу разрешения счета пятого счетчика 11, выход которого через третий дешифратор 12 соединен с входом разрешения счета седьмого счетчика 13, выход которого подключен к входу разрешения записи пятого блока памяти 14, первый выход которого соединен с входом разрешения счета восьмого счетчика 15, выход которого подключен к входу разрешения записи шестого блока памяти 16, первый выход которого соединен с входом предустановки шестого счетчика 17, выход которого подключен к входу разрешения записи седьмого блока памяти 18, первый выход которого соединен с входом разрешения счета девятого счетчика 19, выход которого подключен к входу разрешения записи восьмого блока памяти 20, первый выход которого подключен к входу разрешения счета десятого счетчика 21, выход которого соединен с входами данных четвертого 22, пятого 23 и шестого 24 дешифраторов и подключен к третьему входу блока управления 33, четвертый вход которого соединен с адресным входом первого блока памяти 1, второй выход которого подключен к входу разрешения первого счетчика 2. Выход данных первого блока памяти 1 подключен к входам данных второго 6, третьего 8, четвертого 10, пятого 14, шестого 16, седьмого 18, восьмого 20 блоков памяти. Выход четвертого дешифратора 22 соединен с входом блока "запросов" 25 и первым входом блока "сканирования SYN" 27, выход которого подключен к пятому входу блока управления 33. Второй вход блока "сканирования SYN" 27 соединен с вторым входом блока "сканирования FIN" 28, первым входом блока "достоверности" 29, первым входом первого блока сравнения 30 и подключен ко второму выходу пятого блока памяти 14. Выход пятого дешифратора 23 соединен с первым входом блока "сканирования FIN" 28, выход которого соединен с шестым входом блока управления 33, к седьмому входу которого подключен выход блока "запросов" 25. Восьмой вход блока управления 33 подключен к выходу блока нагрузки 26, первый вход которого соединен с вторым выходом третьего блока памяти 8, а второй вход блока нагрузки 26 соединен с вторым выходом третьего дешифратора 12 и подключен к второму входу блока управления 33, третий выход которого соединен с тактовыми входами первого 2, второго 5, третьего 7, четвертого 9, пятого 11, шестого 17, седьмого 13, восьмого 15, девятого 19 и десятого 21 счетчиков импульсов, входы сброса которых объединены и подключены к четвертому выходу блока управления 33, девятый вход которого соединен с выходом блока "достоверности" 29, второй вход которого соединен с первым выходом первого дешифратора 3, а третий вход блока "достоверности" 29 подключен к второму выходу четвертого блока памяти 10. Второй выход шестого блока памяти 16 соединен со вторым входом первого блока сравнения 30, выход которого подключен к первому входу элемента 2И 32, второй вход которого соединен с выходом второго блока сравнения 31, первый и второй входы которого подключены соответственно к вторым выходам седьмого 18 и восьмого 20 блоков памяти, а выход элемента 2И 32 соединен с десятым входом блока управления, одиннадцатый вход которого подключен к выходу шестого дешифратора 24. Блок индикации 34 является выходом устройства.

Разрядность шины «Байты данных пакета» определяется разрядностью анализируемых данных, и так как устройство обрабатывает байты, она является восьмиразрядной. Информационные связи между выходом первого блока памяти 1 и адресными входами первого 3, второго 4, третьего 12, четвертого 22, пятого 23, шестого 24 блоков дешифрации, а также адресными входами третьего 8, четвертого 10, пятого 14, шестого 16, седьмого 18, восьмого 20 блоков памяти являются восьмиразрядными, так как служат для передачи байтов и физически представляют из себя шину из восьми параллельных проводников. Управляющие связи между первым счетчиком 2 и первым блоком дешифрации 3, первым блоком дешифрации 3 и вторым счетчиком 5, вторым счетчиком 5 и вторым блоком дешифрации 4, вторым блоком дешифрации 4 и вторым блоком памяти 6, вторым счетчиком 5 и третьим счетчиком 7, третьим счетчиком 7 и третьим блоком памяти 8, третьим блоком памяти 8 и четвертым счетчиком 9, четвертым счетчиком 9 и четвертым блоком памяти 10, четвертым блоком памяти 10 и пятым счетчиком 11, пятым счетчиком 11 и третьим блоком дешифрации 12, третьим блоком дешифрации 12 и седьмым счетчиком 13, седьмым счетчиком 13 и пятым блоком памяти 14, пятым блоком памяти 14 и восьмым счетчиком 15, восьмым счетчиком 15 и шестым блоком памяти 16, шестым блоком памяти 16 и шестым счетчиком 17, шестым счетчиком 17 и седьмым блоком памяти 18, седьмым блоком памяти 18 и девятым счетчиком 19, девятым счетчиком 19 и восьмым блоком памяти 20, восьмым блоком памяти 20 и десятым счетчиком 21, десятым счетчиком 21 и четвертым 22, пятым 23, шестым 24 блоками дешифрации являются одноразрядными, так как служат для передачи логических сигналов «0» или «1» и физически представляют собой один проводник. Информационная связь между вторым блоком памяти 6 и шестым счетчиком 17 является восьмиразрядной, так как служит для передачи байтов и физически представляет из себя шину из восьми параллельных проводников. Информационные связи между первым блоком дешифрации 3 и блоком «достоверности» 29, третьим блоком дешифрации 12 и блоком «нагрузки» 26, четвертым блоком дешифрации 22 и блоком «запросов» 25, четвертым блоком дешифрации 22 и блоком «сканирования SYN» 27, пятым блоком дешифрации 23 и блоком «сканирования FIN» 28, шестым блоком дешифрации 24 и блоком управления 33 являются одноразрядными, так как служат для передачи логических сигналов «0» или «1» и физически представляют собой один проводник. Информационные связи между третьим блоком памяти 8 и блоком «нагрузки» 26 являются шестнадцатиразрядными, так как служат для передачи двухбайтовых слов и физически представляют из себя шину из шестнадцати параллельных проводников. Информационные связи между четвертым блоком памяти 10 и блоком «достоверности» 29 являются восьмиразрядными, так как служат для передачи байтов и физически представляют из себя шину из восьми параллельных проводников. Информационные связи между пятым блоком памяти 14 и блоком «сканирования SYN» 27, пятым блоком памяти 14 и блоком «сканирования FIN» 28, пятым блоком памяти 14 и блоком «достоверности» 29, пятым блоком памяти 14 и первым блоком сравнения 30, шестым блоком памяти 16 и первым блоком сравнения 30, седьмым блоком памяти 18 и вторым блоком сравнения 31, восьмым блоком памяти 20 и вторым блоком сравнения 31, являются шестнадцатиразрядными, так как служат для передачи двухбайтовых слов и физически представляют из себя шину из шестнадцати параллельных проводников. Информационные связи между блоком «запросов» 25 и блоком управления 33, блоком «нагрузки» 26 и блоком управления 33, блоком «сканирования SYN» 27 и блоком управления 33, блоком «сканирования FIN» 28 и блоком управления 33, блоком «достоверности» 29 и блоком управления 33, первым блоком сравнения 30 и элементом 2И 32, вторым блоком сравнения 31 и элементом 2И 32, элементом 2И 32 и блоком управления 33, десятым счетчиком 21 и блоком управления 33, третьим блоком дешифрации 12 и блоком управления 33, первым блоком дешифрации 3 и блоком управления 33, блоком управления 33 и блоком памяти 1, блоком памяти 1 и первым счетчиком 2, канальным контроллером и блоком управления 33, блоком управления 33 и блоком индикации 34 являются одноразрядными, так как служат для передачи логических сигналов «0» или «1» и физически представляют собой один проводник.

Информационные связи между блоком управления 33 и всеми счетчиками являются одноразрядными, так как служат для передачи тактовых импульсов и импульсов сброса и физически представляют каждая из себя один проводник.

Первый блок памяти 1 предназначен для хранения и последующего считывания с них байтов данных пакетов, поступающих с демодулирующего устройства (канального контроллера) и подачи команды об окончании записи пришедших данных пакета на первый счетчик 2.

Первый счетчик 2 отсчитывает 14 байт в цифровой последовательности для определения пакета IP.

Первый блок дешифрации 3 предназначен для определения в последовательности поступающих данных протокола IP и подачи управляющего сигнала на блок «достоверности» 29.

Второй счетчик 5 предназначен для отсчета 4 бит для обнаружения поля длины заголовка пакета.

Второй блок дешифрации 4 служит для определения значения длины заголовка.

Третий счетчик 7 предназначен для отсчета 12 бит для нахождения общего размера IP пакета и подачи управляющего сигнала разрешения записи этого значения в третий блок памяти 8.

Второй блок памяти 6 предназначен для записи в него и хранения длины заголовка IP пакета.

Третий блок памяти 8 предназначен для записи в него и хранения общего размера пакета IP.

Четвертый счетчик 9 предназначен для отсчета 6 байт для нахождения значения поля TTL пакета и подачи управляющего сигнала о разрешении его записи в четвертый блок памяти 10.

Четвертый блок памяти 10 предназначен для записи в него и хранения значения поля TTL пакета IP.

Пятый счетчик 11 предназначен для отсчета 1 байта для нахождения значения поля, обозначающего протокол вышестоящего уровня, пакета и подаче управляющего сигнала о разрешении его записи в третий блок дешифрации 12.

Третий блок дешифрации 12 служит для определения числового значения «шесть» в десятичном виде, т.с. определения протокола TCP или значения «один» в десятичном виде, т.е. определения протокола IСМР и подачи управляющего сигнала «1» на седьмой счетчик 13 или на блок «нагрузки» 26.

Седьмой счетчик 13 предназначен для отсчета 5 байт для нахождения двух последних байт адреса отправителя IP пакета и подачи управляющего сигнала разрешения записи этого значения в пятый блок памяти 14.

Пятый блок памяти 14 предназначен для записи в него и хранения значения двух последних байт адреса отправителя пакета IP.

Восьмой счетчик 15 предназначен для отсчета 4 байт для нахождения двух последних байт адреса получателя IP пакета и подачи управляющего сигнала разрешения записи этого значения в шестой блок памяти 16.

Шестой блок памяти 16 предназначен для записи в него и хранения значения двух последних байт адреса получателя пакета IP.

На первый вход шестого счетчика 17 поступает информация о длине заголовка, и он отыскивает поле, содержащее номер порта источника в заголовке TCP и подает управляющий сигнал разрешения записи этого значения в седьмой блок памяти 18.

Седьмой блок памяти 18 предназначен для записи в него и хранения значения номера порта источника заголовка TCP.

Девятый счетчик 19 предназначен для нахождения значения номера порта приемника заголовка TCP и подачи управляющего сигнала разрешения записи этого значения в восьмой блок памяти 20.

Восьмой блок памяти 20 предназначен для записи в него и хранения значения номера порта приемника заголовка TCP.

Десятый счетчик 21 предназначен для нахождения байта флагов заголовка TCP и подачи управляющего сигнала разрешения записи этого байта в четвертый 22, пятый 23, шестой 24 блоки дешифрации.

Четвертый блок дешифрации 22 предназначен для определения случая установки флага SYN в заголовке TCP и подачи управляющего сигнала на блоки «запросов» 25 и «сканирования SYN» 27.

Пятый блок дешифрации 23 предназначен для определения случая установки флага FIN в заголовке TCP и подачи управляющего сигнала на блок «сканирования FIN» 28.

Шестой блок дешифрации 24 предназначен для определения случая совместной установки флага SYN и FIN в заголовке TCP и подачи управляющего сигнала на блок управления 33.

Блок «запросов» 25 предназначен для выработки сигнала об обнаружении аномального количества повторяющихся запросов на установление соединения по протоколу TCP и подачи его на блок управления 33. Вариант схемы блока «запросов» 25 представлен на фиг.2.

Блок «нагрузки» 26 предназначен для выработки сигнала об обнаружении аномальной нагрузки в последовательности пакетов IСМР и подачи его на блок управления 33. Вариант схемы блока «нагрузки» 26 представлен на фиг.3.

Блок «сканирования SYN» 27 предназначен для выработки сигнала об обнаружении сканирования флагом SYN, протокола TCP и подачи его на блок управления 33. Вариант схемы блока «сканирования SYN» 27 представлен на фиг.4.

Блок «сканирования FIN» 28 предназначен для выработки сигнала об обнаружении сканирования флагом FIN, протокола TCP и подачи его на блок управления 33. Вариант схемы блока «сканирования FIN» 28 представлен на фиг.5.

Блок «достоверности» 29 предназначен для выработки сигнала об обнаружении недостоверного IP адреса полученного пакета и подачи его на блок управления 33. Вариант схемы блока «достоверности» 29 представлен на фиг.6.

Первый блок сравнения 30 предназначен для обнаружения совпадения двух последних байт адреса отправителя и адреса получателя IP пакета и подачи сигнала на элемент 2И 32.

Второй блок сравнения 31 предназначен для обнаружения совпадения номера порта источника и приемника заголовка TCP и подачи сигнала на элемент 2И 32.

Элемент 2И 32 указывает о срабатывании обоих блоков сравнения и подает сигнал об этом на блок управления 33.

Блок управления 33 предназначен для формирования тактовых импульсов и импульсов сброса на все счетчики и подачи управляющего сигнала на первый блок памяти 1 для разрешения считывания следующего пакета информации. Вариант схемы блока управления 33 представлен на фиг.7.

Блок индикации 34 предназначен для визуального отображения принятого решения об аномальности проходящего графика.

Входящие в общую структуру устройства поиска информации элементы являются типовыми и могут быть технически реализованы в настоящее время при использовании имеющейся элементной базы.

Схемы первого 1, второго 6, третьего 8, четвертого 10, пятого 14, шестого 16, седьмого 18, восьмого 20 блоков памяти известны и приведены, например, в книге: Шило В.Л. "Популярные цифровые микросхемы". - М.: Радио и связь, 1987 г. и могут быть реализованы на микросхемах К555 РЕ24 или К1533 ИР22. Один разряд блока памяти используется в качестве второго выхода для формирования управляющих сигналов, а остальные разряды используются для записи и хранения информации и являются первым выходом блока памяти.

Схемы первого 30 и второго 31 блоков сравнения для сравнения двух N - разрядных слов известны и приведены, например, в книге: Шило В.Л. "Популярные цифровые микросхемы". - М.: Радио и связь, 1987 г. и могут быть реализованы на микросхемах К561 СП1.

Схемы первого 3, второго 4, третьего 12, четвертого 22, пятого 23, шестого 24, блоков дешифрации известны и приведены, например, в изобретении №2219577, МПК G06F 17/40 и могут быть реализованы на микросхеме К555 ИД10. Типовая схема блока дешифрации, преобразующего двоично-десятичный код в десятичный имеет десять выходов от 0 до 9, в этом случае выход «1» является первым выходом блока дешифрации, а выход «6» является вторым выходом блока дешифрации.

Блок «запросов» 25 содержит два счетчика 25.1 и 25.2 с разным временем счета ΔТ и Δt соответственно, при этом ΔТ>>Δt. Делитель на ΔТ 25.4, устройство ручного переключения (многоконтактный ключ) 25.3, делители на четыре 25.6 и 25.11, сумматоры 25.6 и 25.12, вычитатели 25.8 и 25.13, компараторы 25.9, 25.10, 25.14, 25.15, блок памяти 25.5 и два элемента ИЛИ 25.16, 25.17. Счетчики 25.1 и 25.2 могут быть построены на программируемых интервальных таймерах и счетчиках, например, типа К561 ИЕ 14.

Блок «нагрузки» 26 содержит два сумматора 26.1 и 26.2 с разным временем суммирования ΔТ и Δt соответственно, при этом ΔТ≥≥Δt. Делитель на ΔТ 26.3, устройство ручного переключения (многоконтактный ключ) 26.4, делители на четыре 26.6 и 26.11, сумматоры 26.6 и 26.12, вычитатели 26.8 и 26.13, компараторы 26.9, 26.10, 26.14, 26.15, блок памяти 26.5 и два элемента ИЛИ 26.16, 26.17, блок переключения 26.18. Сумматоры 26.1 и 26.2 могут быть построены на программируемых интервальных таймерах и накапливающих сумматорах типа К561 ИМ1.

Блок «сканирования SYN» 27 содержит блок перебора двоичных чисел 27.1, блок отображения числа 27.4, блок памяти 27.3, счетчик с тремя номиналами времени счета ΔT1, ΔT2, ΔТ3 27.2, сумматор на единицу 27.5, блок установления числа 27.6, компаратор 27.7, управляемые переключатели 27.8, 27.9 и 27.10. Блок перебора двоичных чисел 27.1 может быть построен на счетчиках типа К561 ИЕ14. Счетчик 27.2 может быть реализован на микросхемах К561 ИЕ14. Сумматор 27.5 может быть построен на микросхемах К561 ИМ1.

Блок «сканирования FIN» 28 содержит блок перебора двоичных чисел 28.1, блок отображения числа 28.4, блок памяти 28.3, счетчик с тремя номиналами времени счета ΔТ1, ΔТ2, ΔТ3 28.2, сумматор на единицу 28.5, блок установления числа 28.6, компаратор 28.7, управляемые переключатели 28.8, 28.9 и 28.10. Блок перебора двоичных чисел 28.1 может быть построен на счетчиках типа К561 ИЕ14. Счетчик 28.2 может быть реализован на ИМС типа К561 ИЕ14. Сумматор 28.5 может быть построен на ИМС типа К561 ИМ1.

Блок «достоверности» 29 содержит блок памяти 29.1, блок вычисления среднего значения 29.2, делитель на четыре 29.3, сумматор 29.4, вычитатель 29.5, компараторы 29.6 и 29.7, элемент ИЛИ 29.8. Блок вычисления среднего значения 29.2 может быть построен на арифметико-логических устройствах, схемы которых известны и описаны в книге: Угрюмов Е.П. «Цифровая схемотехника»: Справочное пособие. - СПб.: БХВ-Петербург, 2004. В частности, такая схема может быть реализована на микросхемах К555ИПЗ.

Блок управления 33 содержит элементы 2И 33.2, 33.3, 33.4, 33.5, 33.6, 33.7, 33.8, 33.13, 33.14, 33.15, 33.16, линии задержки 33.1, 33.10, 33.11, элемент ИЛИ 33.12, элемент НЕ 33.9, 33.17, генератор импульсов 33.18, счетчик 33.19, триггер 33.20, формирователь импульсов 33.21. В качестве линии задержки может быть использована одна из известных микросхем серии 155, например К155 ИР13, описанная в книге: Шило В.Л. "Популярные цифровые микросхемы". - М.: Радио и связь, 1987. Схема счетчика 33.19 известна и может быть реализована на микросхеме К561ИЕ14. Схема триггера 33.20 известна и может быть реализована на микросхеме К561ТР1. Схемы генератора импульсов 33.18 и формирователя импульсов 33.21 известны и могут быть реализованы на элементах И-НЕ типа К561 ЛН1 c RC-цепью.

Схемы первого 2, второго 5, третьего 7, четвертого 9, пятого 11, шестого 17, седьмого 13, восьмого 15, девятого 19, десятого 21 счетчиков известны и приведены, например, в изобретении №2219577, МПК G06F 17/40 и могут быть реализованы на элементах И типа К561 ЛИ1, счетчиках типа К561 ИЕ14 и дешифраторах типа К 176 ИД2.

Схемы используемых в устройстве поиска информации элементов И, И-НЕ, счетчиков и дешифраторов известны и описаны, например, в книге: Шило В.Л. "Популярные цифровые микросхемы". - М.: Радио и связь, 1987. В частности, схема элемента И может быть реализована на микросхеме К555ЛИ2, элементов И-HE могут быть реализованы на микросхемах К555 ЛР12. Схема счетчика может быть реализована на микросхеме серии К555. Дешифратор может быть реализован на микросхемах дешифраторов, имеющих четыре разряда. В частности, такая схема может быть реализована на микросхеме К555ИД3.

Схемы используемых в устройстве поиска информации элементов ИЛИ известны и описаны, например, в книге: Якубовский С.В. «Цифровые и аналоговые интегральные микросхемы»: Справочник. - М.: Радио и связь, 1990. В частности, схема элемента ИЛИ может быть реализована на микросхеме К555ЛП2.

Схема делителя может быть реализована на регистре сдвига. Схемы сумматоров, вычитателей, компараторов, регистров сдвига, блоков памяти, и программируемых интервальных таймеров известны и описаны, например, в книге: Угрюмов Е.П. «Цифровая схемотехника»: Справочное пособие.- СПб.: БХВ-Петербург, 2004. В частности, схема программируемого интервального таймера может быть реализована на микросхеме ВИ54 серии К 1821 и К 1860. Схемы регистров сдвига могут быть реализованы на микросхеме ИР 13 серии КР1533. Схемы блоков памяти могут быть реализованы на микросхемах К531 РУ9. Схемы сумматоров и вычитателей могут быть реализованы на микросхемах К555 ИМ3. Схемы блоков сравнения 30 и 31 могут быть реализованы на микросхемах КР1533СП1.

Устройства ручного переключения 25.3, 26.18, а также управляемые переключатели 27.8, 27.9, 27.10, 28.8, 28.9 и 28.10 могут быть реализованы на мультиплексорах и демультиплексорах. Схемы которых известны и описаны, например, в книге: Угрюмов Е.П. «Цифровая схемотехника»: Справочное пособие. - СПб.: БХВ-Петербург, 2004. В частности, они строятся на элементах И-НЕ, которые могут быть реализованы на микросхемах К555 ЛР12.

Блоки памяти 25.5, 26.5, а также блоки установления числа 27.6 и 28.6 могут быть реализованы на регистровом запоминающем устройстве (ЗУ). Схемы регистровых ЗУ известны и описаны, например, в книге: Угрюмов Е.П. «Цифровая схемотехника»: Справочное пособие. - СПб.: БХВ-Петербург, 2004.. В частности они могут быть построены на микросхемах КР1533ИР46.

Блоки отображения числа 27.4, 28.4 и блок индикации 34 могут быть построены на индикаторах. Схемы индикаторов известны и описаны, например, в книге: Вениаминов В.Н., Лебедев О.Н., Мирошниченко А.И. «Микросхемы и их применение»: Справочное пособие. - М.: Радио и связь, 1989.

Устройство работает следующим образом. Первый блок памяти 1 предназначен для хранения и последующего считывания с него байтов данных пакета. При получении с выхода блока управления 33 разрешения на запись (логическая «1») производится заполнение ячеек ОЗУ первого блока памяти 1 байтами пакета, поступившими на адресный вход с демодулирующего устройства (канального контроллера). После того как записаны все байты очередного пакета анализируемого протокола, на втором выходе блока памяти 1 формируется разрешение на побайтное считывание информации (логическая «1»). С выхода первого блока памяти 1 байты пакетов последовательно поступают на адресные входы первого 3, второго 4, третьего 12, четвертого 22, пятого 23, шестого 24 блоков дешифрации, а также на входы данных второго 6, третьего 8, четвертого 10, пятого 14, шестого 16, седьмого 18, восьмого 20 блоков памяти.

При поступлении на вход первого счетчика 2 сигнала с блока памяти 1 (логическая «1»), считывается 14 байт для определения в сигнальной цифровой последовательности значения «шесть» (06) в десятичном виде, соответствующего наличию в пакете протокола IP.

В данном описании рассматривается формат кадра Ethernet 802.3/LLC. В случае других типов кадров, например Ethernet DIX (Ethernet II), длина этого поля составляет 2 байта, и его значение равно в десятичном виде числу «восемь» (0800).

Если значение «шесть» не найдено, на втором выходе первого блока дешифрации 3 формируется сигнал логического «0», поступающий на первый вход блока управления 33.

На первом выходе первого дешифратора 3 формируется управляющий сигнал, поступающий на второй счетчик 5, который отсчитывает 4 бита для обнаружения поля длины заголовка и вырабатывает на первом выходе управляющий сигнал разрешения записи этих бит во второй блок дешифрации 4, который служит для определения значения длины заголовка. На выходе второго блока дешифрации 4 формируется сигнал для записи значения длины заголовка во второй блок памяти 6.

На втором выходе второго счетчика 5 формируется управляющий сигнал, поступающий на третий счетчик 7, служащий для отсчета 12 бит для нахождения общего размера IP пакета в сигнально цифровой последовательности и подачи управляющего сигнала разрешения записи этого значения в третий блок памяти 8.

Третий блок памяти 8 хранит значение общего размера пакета и по второму выходу передает его на блок «нагрузки» 26, при этом на первом выходе вырабатывает сигнал для запуска четвертого счетчика 9, который отсчитывает 6 байт для нахождения значения поля TTL пакета и подает управляющий сигнал о разрешении его записи в четвертый блок памяти 10.

Четвертый блок памяти 10 хранит значение поля TTL пакета и по второму выходу передает его на блок «достоверности» 29, при этом на первом выходе вырабатывает сигнал для запуска пятого счетчика 11, который отсчитывает 1 байт для нахождения значения поля, обозначающего протокол вышестоящего уровня пакета, и подает управляющий сигнал о разрешении его записи в третий блок дешифрации 12.

Третий блок дешифрации 12 предназначен для определения в этом байте числового значения «шесть» (06) или «один» (01) в десятичном виде. В случае (06) используемым протоколом является TCP и на первом выходе формируется сигнал на запуск седьмого счетчика 13. Если значение (01), то на втором выходе третьего блока дешифрации 12 формируется сигнал логической «1», поступающий на второй вход блока управления 33 и второй вход блока «нагрузки» 26.

Седьмой счетчик 13 отсчитывает 5 байт для нахождения двух последних байт адреса отправителя IP пакета и подает управляющий сигнал разрешения записи этого значения в пятый блок памяти 14.

Пятый блок памяти 14 хранит значение двух последних байт адреса отправителя IP пакета и по второму выходу передает его на блок «достоверности» 29, блок «сканирования SYN» 27, блок «сканирования FIN» 28, первый блок сравнения 30, при этом на первом выходе вырабатывает сигнал для запуска восьмого счетчика 15, который отсчитывает 4 байта для нахождения двух последних байт адреса получателя IP пакета и подачи управляющего сигнала разрешения записи этого значения в шестой блок памяти 16.

Шестой блок памяти 16 хранит значение двух последних байт адреса получателя IP пакета и по второму выходу передает его на первый блок сравнения 30. при этом на первом выходе вырабатывает сигнал для запуска шестого счетчика 17, на первый вход которого поступает информация о длине заголовка, и он отыскивает поле, содержащее номер порта источника в заголовке TCP, и подает управляющий сигнал разрешения записи этого значения в седьмой блок памяти 18.

Седьмой блок памяти 18 хранит номер порта источника в заголовке TCP и по второму выходу передает его на второй блок сравнения 31, при этом на первом выходе вырабатывает сигнал для запуска девятого счетчика 19, который отыскивает значения номера порта приемника заголовка TCP и подает управляющий сигнал разрешения записи этого значения в восьмой блок памяти 20.

Восьмой блок памяти 20 хранит номер порта приемника в заголовке TCP и по второму выходу передает его на второй блок сравнения 31, при этом на первом выходе вырабатывает сигнал для запуска десятого счетчика 21, который отыскивает байт флагов заголовка TCP и подает управляющий сигнал разрешения записи этого байта в четвертый 22, пятый 23, шестой 24 блоки дешифрации.

Четвертый 22 блок дешифрации определяет случай установки флага SYN в заголовке TCP и подает управляющий сигнал в виде логической «1» о его установке на блок «запросов» 25 и «сканирования SYN» 27.

Пятый 23 блок дешифрации определяет случай установки флага FIN в заголовке TCP и подает управляющий сигнал в виде логической «1» о его установке на блок «сканирования FIN» 28.

Шестой 24 блок дешифрации определяет случай совместной установки флага SYN и FIN в заголовке TCP и подает управляющий сигнал в виде логической «1» об их установке на одиннадцатый вход блока управления 33.

При поступлении с четвертого блока дешифрации 22 управляющего сигнала о наличии установленного флага SYN на вход блока «запросов» 25, этот сигнал увеличивает на единицу значения счетчиков 25.1 и 25.2. Блок работает в двух режимах, обучения и проверки. В режиме обучения счетчики 25.1 и 25.2 ведут подсчет в течение времени ΔТ и Δt соответственно, при этом ΔТ>>Δt. По истечении установленного времени ΔT счетчик 25.1 выдает свое значении на делитель 25.4, который делит подсчитанное за ΔТ количество запросов, на значение интервала ΔТ, тем самым получая среднее значение запросов за ΔТ. Далее это значение записывается в блок памяти 25.5 для хранения. На этом режим обучения заканчивается и блок необходимо перевести в режим проверки, с помощью многоконтактного переключателя 25.3. В режиме проверки также ведется подсчет количества запросов и вычисляется его среднее значение за ΔТ. Одновременно с этим счетчик 25.2 считает количество запросов за Δt и подает это значение на компараторы 25.9 и 25.10. При этом хранящееся в блоке памяти 25.5 значение поступает на делитель 25.6, который на выходе выдает устанавливаемую часть пришедшего значения (например, четверть), на сумматоры 25.7 и 25.8. Пришедшие на входы сумматоров 25.7 и 25.8 значения с блока памяти 25.5 и делителя 25.6 суммируются и вычитаются соответственно, а полученные значения с выходов сумматоров 25.7 и 25.8 поступают на вторые входы компараторов 25.9 и 25.10, где сравниваются с величиной запросов за Δt. Компаратор 25.9 настроен на превышение величины от первого входа над вторым, а компаратор 25.10 настроен на меньшее значение с первого входа по сравнению со вторым. Выходы компараторов 25.9 и 25.10 идут на входы элемента ИЛИ 25.17, который выдает на выходе сигнал логической «1» при срабатывании хотя бы одного из компараторов, который говорит об аномальном значении количества запросов на установление соединения, данный сигнал идет на выход блока «запросов». Параллельно делитель 25.11, в совокупности с сумматорами 25.12 и 25.13, а также компараторами 25.14 и 25.15 и элементом ИЛИ 25.16, аналогично выявляют непревышение вновь подсчитанного значения среднего за ΔТ количества запросов над хранящимся в блоке памяти 25.5 в пределах установленного в делителе 25.11 значения. В этом случае сигнал логической «1» формируемый на выходе элемента ИЛИ 25.16 поступает на переключатель 25.3, который переводит весь блок в режим обучения, на короткое время, достаточное для записи нового значения с делителя 25.4 среднего за ΔТ количества запросов.

При получении со второго выхода третьего блока дешифрации 12 на второй вход блока «нагрузки» 26 сигнала о наличии протокола IСМР в пакете IP, происходит включение ключа 26.18 и значения величины размера пакета, поступающие с второго выхода третьего блока памяти 8 на первый вход блока «нагрузки» 26, проходят на сумматоры 26.1 и 26.2. Блок работает в двух режимах, обучения и проверки. В режиме обучения сумматоры 26.1 и 26.2 ведут подсчет в течение времени ΔТ и Δt соответственно, при этом ΔТ>>Δt. По истечении установленного времени ΔT сумматор 26.1 выдает свое значение на делитель 26.3, который делит подсчитанный за ΔТ объем графика IСМР, на значение интервала ΔТ, тем самым получая среднее значение приходящего графика за ΔТ. Далее это значение записывается в блок памяти 26.5 для хранения. На этом режим обучения заканчивается и блок необходимо перевести в режим проверки, с помощью многоконтактного переключателя 26.4. В режиме проверки также ведется подсчет приходящего графика и вычисляется его среднее значение за ΔТ. Одновременно с этим сумматор 26.2 считает приходящий график за Δt и подает это значение на компараторы 26.9 и 26.10. При этом хранящееся в блоке памяти 26.5 значение поступает на делитель 26.6, который на выходе выдает устанавливаемую часть пришедшего значения (например, четверть), на сумматоры 26.7 и 26.8. Пришедшие на входы сумматоров 26.7 и 26.8 значения с блока памяти 26.5 и делителя 26.6 суммируются и вычитаются соответственно, а полученные значения с выходов сумматоров 26.7 и 26.8 поступают на вторые входы компараторов 26.9 и 26.10, где сравниваются с величиной графика за Δt. Компаратор 26.9 настроен на превышение величины от первого входа над вторым, а компаратор 26.10 настроен на меньшее значение с первого входа по сравнению со вторым. Выходы компараторов идут на входы элемента ИЛИ 26.17, который выдает на выходе сигнал логической «1» при срабатывании хотя бы одного из компараторов, который говорит об аномальном значении входящего графика IСМР, данный сигнал идет на выход блока «нагрузки». Параллельно делитель 26.11, в совокупности с сумматорами 26.12 и 26.13, а также компараторами 26.14 и 26.15 и элементом ИЛИ 26.16, аналогично выявляют непревышение вновь подсчитанного значения среднего за ΔТ графика над хранящимся в блоке памяти 26.5 в пределах установленного в делителе 26.11 значения. В этом случае сигнал логической «1» формируемый на выходе элемента ИЛИ 26.16 поступает на переключатель 26.4, который переводит весь блок в режим обучения на короткое время, достаточное для записи нового значения с делителя 26.4 среднего за ΔТ входящего графика.

Сигнал установленного флага SYN, пришедший от четвертого блока дешифрации 22 на первый вход блока «сканирования SYN» 27, поступает на управляющий вход блока памяти 27.3 и тем самым разрешает считывание числа хранящегося по адресу, соответствующему пришедшему от пятого блока памяти 14 и поступившему на второй вход блока «сканирования SYN» адресу отправителя пакета. В данном устройстве рассматриваются сети класса В, вследствие чего используется только 2 последних байта адреса отправителя IP пакета. Считанное из памяти число поступает на вход сумматора 27.5, который прибавляет единицу к пришедшему значению, подает новое значение на вход блока памяти 27.3 и управляющим сигналом по второму выходу разрешает запись этого числа в блок памяти 27.3, по тому же адресу с которого оно было считано. При этом счетчик 27.2, работающий на три временных интервала ΔT1, ΔT2, ΔТ3, отсчитывает их периодически от начала работы устройства. По истечении интервала ΔT1 он переводит переключатель 27.8, тем самым подключая счетчик 27.1, который работает в режиме перебора всех чисел по количеству возможных в сети класса В адресов, к адресным входам блока памяти 27.3, и переключатель 27.9, который подключает к выходу блока памяти 27.3 компаратор 27.7, а также запускает счетчик 27.1. В течение интервала времени ΔТ2 счетчик 27.1 перебирает на адресных входах блока памяти 27.3 все возможные адреса и выдает на управляющие входы команду разрешения считывания из памяти. При этом на вход компаратора 27.7 подаются числа, соответствующие количеству установленных флагов SYN, пришедших с одного IP адреса, и он сравнивает их с пороговым значением, установленным в блоке 27.6 хранения установленного заранее значения. При превышении порогового значения для одного IP адреса компаратор 27.7 срабатывает и выдает сигнал на выход блока «сканирования SYN» 27 и временно переключает ключ 27.10 для выдачи данного адреса на блок отображения чисел 27.4. По истечении интервала ΔТ2 перебор адресов закончен, и счетчик 27.2 перезапускает счетчик перебора чисел 27.1, при этом устанавливая на управляющих входах блока памяти 27.3 команду разрешения стирания. При этом в течение интервала времени ΔТ3 происходит стирание всей информации из блока памяти 27.3 и по окончании интервала ΔТ3 блок «сканирования SYN» возвращается в первоначальное состояние и готово вести подсчет статистики установленных флагов SYN для одного IP адреса, что может использоваться при сканировании систем.

Сигнал установленного флага FIN, пришедший от пятого блока дешифрации 23 на первый вход блока «сканирования FIN» 28, поступает на управляющий вход блока памяти 28.3 и тем самым разрешает считывания числа, хранящегося по адресу, соответствующему пришедшему от пятого блока памяти 14 и поступившему на второй вход блока «сканирования FIN», адресу отправителя пакета. В данном устройстве рассматриваются сети класса В, вследствие чего используется только 2 последних байта адреса отправителя IP пакета. Считанное из памяти число поступает на вход сумматора 28.5, который прибавляет единицу к пришедшему значению, подает новое значение на вход блока памяти 28.3 и управляющим сигналом по второму выходу разрешает запись этого числа в блок памяти 28.3, по тому же адресу с которого оно было считано. При этом счетчик 28.2, работающий на три временных интервала ΔТ1, ΔТ2, ΔТ3, отсчитывает их периодически от начала работы устройства. По истечении интервала ΔТ1 он переводит переключатель 28.8, тем самым подключая счетчик 28.1, который работает в режиме перебора всех чисел по количеству возможных в сети класса В адресов, к адресным входам блока памяти 28.3, и переключатель 28.9, который подключает к выходу блока памяти 28.3 компаратор 28.7, а также запускает счетчик 28.1. В течении интервала времени ΔТ2 счетчик 28.1 перебирает на адресных входах блока памяти 28.3 все возможные адреса и выдает на управляющие входы команду разрешения считывания из памяти. При этом на вход компаратора 28.7 подаются числа, соответствующие количеству установленных флагов FIN, пришедших с одного IP адреса и он сравнивает их с пороговым значением установленном в блоке 28.6 хранения установленного заранее значения. При превышении порогового значения для одного IP адреса компаратор 28.7 срабатывает и выдает сигнал на выход блока «сканирования FIN» 28 и временно переключает ключ 28.10 для выдачи данного адреса на блок отображения чисел 28.4. По истечении интервала ΔТ2 перебор адресов закончен, и счетчик 28.2 перезапускает счетчик перебора чисел 28.1, при этом устанавливая на управляющих входах блока памяти 28.3 команду разрешения стирания. При этом в течение интервала времени ΔТ3 происходит стирание всей информации из блока памяти 28.3 и по окончании интервала ΔТ3 блок «сканирования FIN» возвращается в первоначальное состояние и готов вести подсчет статистики установленных флагов FIN для одного IP адреса, что может использоваться при сканировании систем.

Сигнал наличия протокола IP в кадре Ethernet, пришедший с первого блока дешифрации 3 и поступивший на второй вход блока «достоверности» 29 формирует команду разрешения считывания из блока памяти 29.1 по адресу, соответствующему числу, пришедшему от пятого блока памяти 14 и поступившему на первый вход блока «достоверности» 29. Число, считанное из блока памяти 29.1, поступает на первый вход блока 29.2, на второй вход которого приходит значение, полученное с третьего входа блока «достоверности» 29, куда оно поступило с четвертого блока памяти 10. Блок 29.2 вычисляет среднее между двумя числами, при этом если одно из чисел равно нулю, то результатом оставляет не нулевое число. Рассчитав среднее значение, блок 29.2 выдаст на управляющие входы блока памяти 29.1 команду на разрешение записи, а на вход данных полученный результат, который записывается по тому же адресу, с которого производилось считывание. Одновременно рассчитанное в блоке 29.2 среднее значение передается на вход делителя 29.3, который на выходе выдает устанавливаемую часть пришедшего значения (например, четверть), на сумматоры 29.4 и 29.5. Пришедшие на входы сумматоров 29.4 и 29.5 значения с блока 29.2 и делителя 29.3 суммируются и вычитаются соответственно, а полученные значения с выходов сумматоров 29.4 и 29.5 поступают на вторые входы компараторов 29.6 и 29.7. Компараторы 29.6 и 29.7 сравнивают пришедшие на первые входы числа с сумматоров 29.4 и 29.5 с величиной числа пришедшего на вторые входы от третьего входа блока «достоверности». Компаратор 29.6 настроен на превышение величины от первого входа над вторым, а компаратор 29.7 настроен на меньшее значение с первого входа по сравнению со вторым. Выходы компараторов 29.6 и 29.7 идут на входы элемента ИЛИ 29.8, который выдает на выходе сигнал логической «1» при срабатывании хотя бы одного из компараторов, который говорит об аномальном значении поля TTL для заданного IP адреса.

При поступлении сигнала логического «0» на первый вход блока управления 33 с второго выхода первого блока дешифрации 3, этот сигнал запрещает прохождение сигналов логической «1» с второго и третьего входов блока управления 33 через элементы 2И 33.14 и 33.16, тем самым отключая устройство от индикации атаки. В противном случае сигнал логической «1» на первом входе блока управления 33 позволяет срабатывать блоку управления 33 на сигналы от второго и третьего входов блока управления 33. При приходе сигнала логической «1» на второй вход блока управления 33, что сигнализирует о наличии в пакете протокола IСМР, этот сигнал проходит через элемент 2И 33.14 и поступает на линию задержки 33.10, которая задерживает его до срабатывания остальных элементов устройства поиска информации. Одновременно с элемента 2И 33.14 сигнал логической «1» поступает на инвертор 33.9 и с его выхода в виде сигнала логического «0» поступает на элементы 2И 33.15 и 33.13, тем самым запрещая прохождение сигнала логической единицы с третьего входа блока управления 33 и поступая на вторые входы элементов 2И 33.2, 33.4, 33.5, 33.7, 33.8, на первые входы которых подключены выходы блоков «запросов» 25, «сканирования SYN» 27, «сканирования FIN» 28, выход элемента 2И 32, и выход шестого блока дешифрации 24 соответственно, отключает их от работы устройства, не позволяя проходить на блок индикации 34 сигналам от этих блоков. Пройдя линию задержки 33.10, сигнал логической «1» поступает вторые входы элементов 2И 33.3, 33.6, на первые входы которых подключены блоки «нагрузки» 26 и «достоверности» 29, тем самым подключая блоки «нагрузки» 26 и «достоверности» 29 для фиксирования состояния на их выходах по истечении времени задержки в линии 33.10, необходимого для срабатывания всех элементов устройства поиска информации. При наличии сигнала логического «0» на втором входе блока управления 33, что соответствует наличию протокола TCP в пакете, сигнал логической «0» преобразуется в инверторе 33.9 в сигнал логической «1» и поступая на элемент 2И 33.13 открывает его для прохождения сигнала логической «1» с третьего входа блока управления 33, на линию задержки 33.11, которая задерживает его до срабатывания всех элементов устройства поиска информации. С линии задержки 33.11 сигнал поступает на вторые входы элементов 2И 33.2, 33.3, 33.4, 33.5, 33.6, 33.7, 33.8, открывая их для прохождения сигналов об атаках с блоков «запросов» 25, «нагрузки» 26, «сканирования SYN» 27, «сканирования FIN» 28, «достоверности» 29, выхода элемента 2И 32, и выхода шестого блока дешифрации 24 соответственно. При этом сигнал логической «1» не проходит через элемент 2И 33.15, поскольку на втором его входе установлен сигнал логического «0» с элемента 2И 33.14. Сигналы об атаках, прошедшие через элементы 2И 33.2, 33.3, 33.4, 33.5, 33.6, 33.7, 33.8, поступают на входы устройства объединяющего их результат, например элемент ИЛИ 33.12, и выдающего результат на блок индикации 34. Сигнал логической единицы от линий задержки 33.10 и 33.11 поступает на вход линии задержки 33.1, где задерживается до срабатывания элементов блока управления 33. При поступлении сигнала логического «0» с первого входа блока управления 33 он через инвертор 33.17 проходит на вход линии задержки 33.1 для подачи с ее выхода сигнала на выход блока управления 33 и последующей его подачи на второй вход первого блока памяти 1, по которому происходит обнуление ячеек памяти. Кроме того, блок управления 33 формирует тактовую частоту и частоту сброса при помощи генератора импульсов 33.18, счетчика импульсов 33.19, триггера 33.20 и формирователя импульсов 33.21 для нормальной работы устройства поиска информации. Устройство готово к ведению анализа вновь поступающей входной цифровой последовательности.

Таким образом, из рассмотренного принципа действия устройства видно, что оно обеспечивает возможность анализа протоколов, определения использования протокола TCP, ICMP, получения однозначного решения о наличии неоднократно повторяющихся запросов на создание сколь угодно большого количества логических каналов связи, сигнализации о проводимом в сети сканировании хостов, выявления случая не достоверности IP адреса отправителя пакета, аномальности величины входящего графика, случая нарушения правил ведения сеанса связи по стеку протоколов TCP/IP, что необходимо для обеспечения устойчивого функционирования автоматизированных систем в условиях несанкционированного воздействия (информационных атак). Этим достигается сформулированная цель - расширение области применения заявленного устройства, которое позволяет не только определять тип протокола, учитывать правила установления и ведения сеанса связи, но и производить анализ проходящих через него потоков для выявления аномалий сетевого графика.

Похожие патенты RU2417537C1

название год авторы номер документа
УСТРОЙСТВО ОПРЕДЕЛЕНИЯ СОСТОЯНИЯ СЕТИ СВЯЗИ 2008
  • Гребенев Сергей Васильевич
  • Сергеенков Виктор Юрьевич
  • Матвеенко Денис Владимирович
  • Зеленков Сергей Сергеевич
RU2383105C1
СПОСОБ АНАЛИЗА ИНФОРМАЦИОННОГО ПОТОКА И ОПРЕДЕЛЕНИЯ СОСТОЯНИЯ ЗАЩИЩЕННОСТИ СЕТИ НА ОСНОВЕ АДАПТИВНОГО ПРОГНОЗИРОВАНИЯ И УСТРОЙСТВО ДЛЯ ЕГО ОСУЩЕСТВЛЕНИЯ 2013
  • Кузькин Александр Александрович
  • Маркин Дмитрий Олегович
  • Гребенев Сергей Васильевич
  • Сергеенков Виктор Юрьевич
RU2546236C2
УСТРОЙСТВО ОБНАРУЖЕНИЯ УДАЛЕННЫХ КОМПЬЮТЕРНЫХ АТАК 2014
  • Васюков Дмитрий Юрьевич
  • Коцыняк Михаил Антонович
  • Коцыняк Михаил Михайлович
  • Лаута Олег Сергеевич
  • Лаута Александр Сергеевич
RU2540838C1
УСТРОЙСТВО ПОИСКА ИНФОРМАЦИИ 2005
  • Збиняков Александр Николаевич
  • Гребенев Сергей Васильевич
  • Орешин Андрей Николаевич
  • Иванов Борис Рудольфович
  • Лещанкин Алексей Анатольевич
  • Романюк Олег Викторович
RU2301443C2
УСТРОЙСТВО МОНИТОРИНГА БЕЗОПАСНОСТИ АВТОМАТИЗИРОВАННЫХ СИСТЕМ 2004
  • Колбасова Галина Сергеевна
  • Максимов Роман Викторович
  • Михейкина Елена Викторовна
  • Петров Владимир Викторович
  • Стародубцев Юрий Иванович
  • Терин Вячеслав Викторович
RU2270478C1
УСТРОЙСТВО ОБНАРУЖЕНИЯ КОМПЬЮТЕРНЫХ АТАК В МАРШРУТАХ 2014
  • Аветисян Казар Володяевич
  • Лаута Александр Сергеевич
  • Лаута Олег Сергеевич
  • Лукина Оксана Михайловна
  • Харченко Дмитрий Евгеньевич
RU2566331C1
УСТРОЙСТВО ОБНАРУЖЕНИЯ АТАК В БЕСПРОВОДНЫХ СЕТЯХ СТАНДАРТА 802.11G 2013
  • Беляков Эдуард Викторович
  • Гребенев Сергей Васильевич
  • Лопатин Денис Анатольевич
  • Константинов Сергей Владимирович
  • Семкин Антон Витальевич
RU2545516C2
УСТРОЙСТВО РАСПОЗНАВАНИЯ ИСКАЖЕНИЯ ИНФОРМАЦИОННОГО ЦИФРОВОГО ПОТОКА 2004
  • Куликов Олег Евгеньевич
  • Липатников Валерий Алексеевич
RU2273045C1
Устройство для сопряжения магистрали ЭВМ с периферийными устройствами 1990
  • Пименов Анатолий Владимирович
  • Шапоров Игорь Дмитриевич
  • Соколов Сергей Алексеевич
  • Ткаченко Сергей Николаевич
  • Харченко Вячеслав Сергеевич
  • Тимонькин Григорий Николаевич
SU1751775A1
Устройство для сопряжения между абонентами 1987
  • Калина Владимир Николаевич
  • Шалугин Сергей Сергеевич
  • Школяренко Анатолий Кириллович
SU1411759A1

Иллюстрации к изобретению RU 2 417 537 C1

Реферат патента 2011 года УСТРОЙСТВО ПОИСКА ИНФОРМАЦИИ

Изобретение относится к устройству для поиска информации и оперативной идентификации в цифровых системах связи, в частности в сети передачи данных типа "Internet" стека коммуникационных протоколов TCP/IP. Техническим результатом является повышение устойчивости функционирования автоматизированных систем в условиях несанкционированного информационного воздействия в сетях передачи данных типа "Internet". Устройство содержит первый блок памяти, первый счетчик, первый и второй блок дешифрации, второй счетчик, второй блок памяти, третий счетчик, третий блок памяти, четвертый счетчик, четвертый блок памяти, пятый счетчик, третий блок дешифрации, седьмой счетчик, пятый блок памяти, восьмой счетчик, шестой блок памяти, шестой счетчик, седьмой блок памяти, девятый счетчик, восьмой блок памяти, десятый счетчик, четвертый, пятый и шестой блоки дешифрации, блок «запросов», блок «нагрузки», блок «сканирования SYN», блок «сканирования FIN», блок «достоверности», первый и второй блоки сравнения, элемент 2И, блок управления, блок индикации. Поставленная цель достигается за счет введения дополнительно десятого счетчика, третьего, четвертого, пятого, шестого, седьмого, восьмого блоков памяти, второго блока сравнения, элемента 2И, блока «запросов», блока «нагрузки», блока «сканирования SYN», блок «сканирования FIN», блока «достоверности» и введения новых связей между блоками. 7 ил.

Формула изобретения RU 2 417 537 C1

Устройство поиска информации, содержащее счетчики, дешифраторы, блоки памяти, первый блок сравнения, блок управления и блок индикации, который подключен к первому выходу блока управления, второй выход которого соединен с управляющим входом первого блока памяти, адресный вход которого является входом устройства, выход данных первого блока памяти подключен к адресным входам всех дешифраторов, причем выход первого счетчика соединен с входом данных первого дешифратора, первый выход которого подключен к входу разрешения счета второго счетчика, а второй выход первого дешифратора соединен с первым входом блока управления, первый выход второго счетчика через второй дешифратор подключен к входу разрешения записи второго блока памяти, выход которого соединен с первым входом шестого счетчика, а второй выход второго счетчика подключен к входу разрешения счета третьего счетчика, отличающееся тем, что в него дополнительно введены десятый счетчик, третий, четвертый, пятый, шестой, седьмой, восьмой блоки памяти, второй блок сравнения, элемент 2И, блок "запросов", блок "нагрузки", блок "сканирования SYN", блок "сканирования FIN", блок "достоверности", причем выход третьего счетчика соединен с входом разрешения записи третьего блока памяти, первый выход которого подключен к входу разрешения счета четвертого счетчика, выход которого соединен с входом разрешения записи четвертого блока памяти, первый выход которого подключен к входу разрешения счета пятого счетчика, выход которого через третий дешифратор соединен с входом разрешения счета седьмого счетчика, выход которого подключен к входу записи пятого блока памяти, первый выход которого соединен с входом разрешения счета восьмого счетчика, выход которого подключен к входу записи шестого блока памяти, первый выход которого соединен с входом предустановки шестого счетчика, выход которого подключен к входу разрешения записи седьмого блока памяти, первый выход которого соединен с входом разрешения счета девятого счетчика, выход которого подключен к входу разрешения записи восьмого блока памяти, первый выход которого подключен к входу разрешения счета десятого счетчика, выход которого соединен с входами данных четвертого, пятого и шестого дешифраторов и подключен к третьему входу блока управления, четвертый вход которого соединен с адресным входом первого блока памяти, второй выход которого подключен к входу разрешения первого счетчика, а выход данных первого блока памяти подключен к входам данных всех других блоков памяти, при этом выход четвертого дешифратора соединен с входом блока "запросов" и первым входом блока "сканирования SYN", выход которого подключен к пятому входу блока управления, а второй вход блока "сканирования SYN" соединен с вторым входом блока "сканирования FIN", первым входом блока "достоверности", первым входом первого блока сравнения и подключен ко второму выходу пятого блока памяти, выход пятого дешифратора соединен с первым входом блока "сканирования FIN", выход которого соединен с шестым входом блока управления, к седьмому входу которого подключен выход блока "запросов", а восьмой вход блока управления подключен к выходу блока нагрузки, первый вход которого соединен с вторым выходом третьего блока памяти, а второй вход блока нагрузки соединен с вторым выходом третьего дешифратора и подключен к второму входу блока управления, третий выход которого соединен с тактовыми входами всех счетчиков импульсов, входы сброса которых объединены и подключены к четвертому выходу блока управления, девятый вход которого соединен с выходом блока "достоверности", второй вход которого соединен с первым выходом первого дешифратора, а третий вход блока "достоверности" подключен к второму выходу четвертого блока памяти, при этом второй выход шестого блока памяти соединен со вторым входом первого блока сравнения, выход которого подключен в первому входу элемента 2И, второй вход которого соединен с выходом второго блока сравнения, первый и второй входы которого подключены соответственно к вторым выходам седьмого и восьмого блоков памяти, а выход элемента 2И соединен с десятым входом блока управления, одиннадцатый вход которого подключен к выходу шестого дешифратора.

Документы, цитированные в отчете о поиске Патент 2011 года RU2417537C1

УСТРОЙСТВО ПОИСКА ИНФОРМАЦИИ 2002
  • Ксёнз Е.С.
  • Липатников В.А.
  • Максимов Р.В.
  • Стародубцев Ю.И.
  • Федяков Е.Г.
  • Хлыбов Д.Л.
RU2219577C1
УСТРОЙСТВО ПОИСКА ИНФОРМАЦИИ 2005
  • Збиняков Александр Николаевич
  • Гребенев Сергей Васильевич
  • Орешин Андрей Николаевич
  • Иванов Борис Рудольфович
  • Лещанкин Алексей Анатольевич
  • Романюк Олег Викторович
RU2301443C2
US 2009282022 A1, 12.11.2009
US 2004225644 A1, 11.11.2004
US 2008075014 A1, 27.03.2008.

RU 2 417 537 C1

Авторы

Гребенев Сергей Васильевич

Збиняков Александр Николаевич

Шевченко Юрий Григорьевич

Любимов Владимир Алексеевич

Шпаковский Роман Витальевич

Зорин Андрей Владимирович

Даты

2011-04-27Публикация

2009-12-07Подача