Изобретение относится к области электросвязи и предназначено для использования в технических средствах защиты с целью оперативного выявления удаленных компьютерных атак на информационно-телекоммуникационную сеть (ИТКС) и их блокирования.
Известно устройство защиты информационных ресурсов вычислительной сети по патенту РФ №2313127, опубл. 20.12.2007. Устройство-аналог состоит из серверов с блоками памяти, промежуточной памяти, коммутатора, коннекторов, линий обмена данными и блока управления.
Недостатком указанного способа является ограниченное число анализируемых параметров пакетов сообщений.
Известно устройство защиты информации от несанкционированного доступа для компьютеров информационно-вычислительных систем по патенту РФ №2321055, опубл. 27.03.2008. Устройство-аналог состоит из контроллера обмена информацией с внешним носителем информации, контроллера обмена информацией с компьютером, процессора идентификации и аутентификации пользователей, блока энергонезависимой памяти, модуля блокировки общей шины управления и обмена данными компьютера, устройства контроля питания, блока интерфейсов внешних устройств, модуля блокирования внешних устройств, аппаратного датчика случайных чисел, микроконтроллера датчиков вскрытия и извлечения компонентов компьютера с собственным независимым источником питания, оперативного запоминающего устройства, модуля постоянной аутентификации пользователя, модуля проверки целостности и состояния аппаратных компонентов устройства защиты, модуля управления загрузкой ключей аппаратного шифратора, модуля управления сетевыми адаптерами, модуля взаимодействия с системой разграничения доступа и модуля взаимодействия с серверами информационно-вычислительной системы.
Недостатком указанного способа является узкая область применения, обусловленная тем, что несмотря на возможность обнаружения несанкционированного доступа к компьютерам в нем не предусмотрена возможность предотвращения удаленных компьютерных атак.
Наиболее близким аналогом (прототипом) по своей технической сущности к заявленному устройству обнаружения удаленных компьютерных атак является устройство поиска информации по патенту РФ №2301443, опубл. 20.06.2007.
Устройство-прототип состоит из блока памяти, вход которого является входом устройства, а выход подключен к информационному входу первого блока дешифрации, второй вход которого подключен к первому счетчику, а выход - к входу второго счетчика, первый выход которого соединен со вторым входом второго блока дешифрации, первый вход которого подключен к выходу первого блока памяти, выход второго блока дешифрации соединен с входом второго блока памяти, а выход второго счетчика через третий счетчик соединен с первым входом третьего блока дешифрации, второй вход которого подключен к выходу первого блока памяти, первый и второй выходы третьего блока дешифрации подключены через четвертый и пятый счетчики соответственно к первым входам четвертого и пятого блоков дешифрации, вторые входы которых соединены с выходом первого блока памяти, а выходы четвертого и пятого блоков дешифрации подключены соответственно к первому и второму входам первого блока сравнения, входы блока управления подключены ко второму выходу первого блока дешифрации, к третьему выходу третьего блока дешифрации, ко второму выходу первого блока сравнения, ко второму выходу шестого блока дешифрации, к первому выходу седьмого блока дешифрации, к выходу восьмого блока дешифрации, к выходу девятого блока дешифрации, к первому выходу десятого блока дешифрации, к двум выходам одиннадцатого блока дешифрации, а одиннадцатый выход блока управления подключен к входу первого счетчика и к первому блоку памяти, причем выход второго блока памяти соединен с первым входом шестого счетчика, второй вход которого подключен к выходу первого блока сравнения, а его выход - к входу шестого блока дешифрации, первый выход которого соединен с входом седьмого счетчика, выход которого подключен к входу седьмого блока дешифрации, второй выход которого соединен с входом восьмого счетчика, а выход восьмого счетчика подключен к первому входу восьмого, девятого и десятого блоков дешифрации, вторые входы каждого из которых соединены с выходом первого блока памяти, к которому также подключены вторые входы седьмого, шестого и одиннадцатого блоков дешифрации, причем второй выход десятого блока дешифрации соединен с входом девятого счетчика, выход которого подключен к первому входу одиннадцатого блока дешифрации.
Недостатком прототипа является относительная низкая достоверность обнаружения компьютерных атак из-за возможности проверки только малого количества признаков, характеризующих удаленные компьютерные атаки, что приводит к возможному пропуску компьютерных атак, использующих фрагментацию пакетов данных.
Целью изобретения является разработка устройства обнаружения удаленных компьютерных атак, обеспечивающего повышение достоверности обнаружения компьютерных атак, за счет возможности выявления большего числа признаков атак и их обнаружения.
Поставленная цель достигается тем, что в известном устройстве обнаружения удаленных компьютерных атак, содержащем первый блок памяти, снабженный входной шиной сообщений, а его информационный выход подключен к первым информационным входам первого, третьего, четвертого, пятого, шестого, седьмого, десятого, восьмого, девятого и одиннадцатого блоков дешифрации, первый управляющий вход первого блока памяти подключен к управляющему входу первого счетчика, управляющий выход которого подключен ко второму управляющему входу первого блока дешифрации, управляющие выходы которого подключены соответственно к первому управляющему входу блока управления и управляющему входу второго счетчика, первый управляющий выход которого подключен к управляющему входу второго блока дешифрации, управляющий выход которого подключен к управляющему входу второго блока памяти, информационный выход которого подключен к первому информационному входу шестого счетчика, второй управляющий вход которого подключен ко второму управляющему выходу первого блока сравнения, управляющий выход шестого счетчика подключен ко второму управляющему входу шестого блока дешифрации, первый управляющий выход которого подключен к четвертому управляющему входу блока управления, пятый управляющий вход которого подключен к первому управляющему выходу седьмого блока дешифрации, второй управляющий выход которого подключен к управляющему входу восьмого счетчика, второй управляющий выход которого подключен ко вторым управляющим входам десятого, восьмого и девятого блоков дешифрации, первый управляющий выход которого подключен к шестому управляющему входу блока управления, седьмой и восьмой управляющие входы которого подключены соответственно к первому управляющему выходу восьмого блока дешифрации и первому управляющему выходу десятого блока дешифрации, второй управляющий выход которого подключен к управляющему входу девятого счетчика, управляющий выход которого подключен к первому управляющему входу одиннадцатого блока дешифрации, первый управляющий выход которого подключен к десятому управляющему входу блока управления, второй и третий управляющие входы которого подключены соответственно к первому управляющему выходу третьего блока дешифрации и первому управляющему выходу первого блока сравнения, второй информационный вход которого подключен к информационному выходу пятого блока дешифрации, второй управляющий вход которого подключен к управляющему выходу пятого счетчика, информационный вход которого подключен ко второму информационному выходу третьего блока дешифрации, третий информационный выход которого подключен к информационному входу четвертого счетчика, управляющий выход которого подключен ко второму управляющему входу четвертого блока дешифрации, информационный выход которого подключен к третьему информационному входу первого блока сравнения, второй управляющий выход второго счетчика подключен к управляющему входу третьего счетчика, управляющий выход которого подключен ко второму управляющему входу третьего блока дешифрации, второй управляющий выход шестого блока дешифрации подключен к управляющему входу седьмого счетчика, управляющий выход которого подключен ко второму управляющему входу седьмого блока дешифрации, первый, второй и третий управляющие выходы блока управления подключены соответственно к первому и второму управляющим входам первого блока памяти, а также к управляющему входу блока индикации, отличающееся тем, что дополнительно введены второй блок сравнения, двенадцатый блок дешифрации, десятый счетчик, а также третий, пятый и четвертый блоки памяти. Первый управляющий выход четвертого блока памяти подключен к девятому управляющему входу блока управления, двенадцатый и тринадцатый управляющие входы которого подключены соответственно к первому и второму управляющим выходам второго блока сравнения. Первый и второй информационные входы второго блока сравнения подключены соответственно к информационным выходам пятого блока памяти и двенадцатого блока дешифрации, первый управляющий выход которого подключен к одиннадцатому управляющему входу блока управления. Первый и второй информационные входы двенадцатого блока дешифрации подключены соответственно к информационному выходу первого блока памяти и управляющему выходу десятого счетчика, управляющий вход которого подключен к первому управляющему выходу восьмого счетчика. Второй и третий информационные входы четвертого блока памяти подключены соответственно ко второму информационному выходу одиннадцатого блока дешифрации и вторым информационным выходам восьмого и девятого блоков дешифрации. Информационный выход третьего блока памяти подключен к первому информационному входу первого блока сравнения. Причем управляющие входы третьего, четвертого и пятого блоков памяти объединены и являются управляющим входом устройства, а четвертый блок памяти снабжен информационным выходом подключения к ложной сети.
Благодаря новой совокупности существенных признаков в заявленном устройстве за счет мониторинга широкого спектра компьютерных атак, предпринимаемых внешними нарушителями по доверенным маршрутам передачи пакетов сообщений, представляется возможным более оперативно прогнозировать факт воздействия компьютерных атак (КА) и заблаговременно предотвратить их деструктивное воздействие, что указывает на возможность повышения достоверности обнаружения КА.
Заявленное устройство поясняется чертежами, на которых показаны:
на фиг.1 - структурная схема устройства обнаружения удаленных компьютерных атак;
на фиг.2 - структурная схема блока управления;
на фиг.3 - структура заголовка IP-пакета;
на фиг.4 - структура заголовка TCP-пакета;
на фиг.5 - структура заголовка UDP-пакета;
на фиг.6 - структура заголовка ICMP-пакета;
на фиг.7 - зависимость вероятности обнаружения компьютерных атак от объема принятых пакетов сообщений.
Заявленное устройство обнаружения удаленных компьютерных атак, показанное на фиг.1, состоит из первого блока памяти 1, снабженного входной шиной сообщений, а его информационный выход 1.3 подключен к первым информационным входам первого 3, третьего 8, четвертого 11, пятого 12, шестого 15, седьмого 17, десятого 19, восьмого 20, девятого 21 и одиннадцатого 23 блоков дешифрации, первый управляющий вход 1.1 первого блока памяти 1 подключен к управляющему входу 2.1 первого счетчика 2, управляющий выход 2.2 которого подключен ко второму управляющему входу 3.2 первого блока дешифрации 3, управляющие выходы 3.3 и 3.4 которого подключены соответственно к первому управляющему входу 24.1 блока управления 24 и управляющему входу 5.1 второго счетчика 5, первый управляющий выход 5.2 которого подключен к управляющему входу 4.1 второго блока дешифрации 4, управляющий выход 4.2 которого подключен к информационному входу 6.1 второго блока памяти 6, информационный выход 6.2 которого подключен к первому информационному входу 14.1 шестого счетчика 14, второй управляющий вход 14.2 которого подключен ко второму управляющему выходу 13.5 первого блока сравнения 13, управляющий выход 14.3 шестого счетчика 14 подключен ко второму управляющему входу 15.2 шестого, блока дешифрации 15, первый управляющий выход 15.3 которого подключен к четвертому управляющему входу 24.4 блока управления 24, пятый управляющий вход 24.5 которого подключен к первому управляющему выходу 17.3 седьмого блока дешифрации 17, второй управляющий выход 17.4 которого подключен к управляющему входу 18.1 восьмого счетчика 18, второй управляющий выход 18.3 которого подключен ко вторым управляющим входам 19.2, 20.2, 21.2 десятого 19, восьмого 20 и девятого 21 блоков дешифрации, первый управляющий выход 21.3 которого подключен к шестому управляющему входу 24.6 блока управления 24, седьмой 24.7 и восьмой 24.8 управляющие входы которого подключены соответственно к первому управляющему выходу 20.3 восьмого блока дешифрации 20 и первому управляющему выходу 19.3 десятого блока дешифрации 19, второй управляющий выход 19.4 которого подключен к управляющему входу 22.1 девятого счетчика 22, управляющий выход 22.2 которого подключен к первому управляющему входу 23.2 одиннадцатого блока дешифрации 23, первый управляющий выход 23.3 которого подключен к десятому управляющему входу 24.10 блока управления 24, второй 24.2 и третий 24.3 управляющие входы которого подключены соответственно к первому управляющему выходу 8.3 третьего блока дешифрации 8 и первому управляющему выходу 13.4 первого блока сравнения 13, второй информационный вход 13.2 которого подключен к информационному выходу 12.3 пятого блока дешифрации 12, второй управляющий вход 12.2 которого подключен к управляющему выходу 10.2 пятого счетчика 10, информационный вход 10.1 которого подключен ко второму информационному выходу 8.4 третьего блока дешифрации 8, третий информационный выход 8.5 которого подключен к информационному входу 9.1 четвертого счетчика 9, управляющий выход 9.2 которого подключен ко второму управляющему входу 11.2 четвертого блока дешифрации 11, информационный выход 11.3 которого подключен к третьему информационному входу 13.3 первого блока сравнения 13, второй управляющий выход 5.3 второго счетчика 5 подключен к управляющему входу 7.1 третьего счетчика 7, управляющий выход 7.2 которого подключен ко второму управляющему входу 8.2 третьего блока дешифрации 8, второй управляющий выход 15.4 шестого блока дешифрации 15 подключен к управляющему входу 16.1 седьмого счетчика 16, управляющий выход 16.2 которого подключен ко второму управляющему входу 17.2 седьмого блока дешифрации 17, первый 24.14, второй 24.15 и третий 24.16 управляющие выходы блока управления 24 подключены соответственно к первому 1.1 и второму 1.2 управляющим входам первого блока памяти 1, а также к управляющему входу 25.1 блока индикации 25, отличающееся тем, что дополнительно введены второй блок сравнения 32, двенадцатый блок дешифрации 30, десятый счетчик 29, а также третий 26, пятый 31 и четвертый 28 блоки памяти. Первый управляющий выход 28.4 четвертого блока памяти 28 подключен к девятому управляющему входу 24.9 блока управления 24, двенадцатый 24.12 и тринадцатый 24.13 управляющие входы которого подключены соответственно к первому 32.3 и второму 32.4 управляющим выходам второго блока сравнения 32. Первый 32.1 и второй 32.2 информационные входы второго блока сравнения 32 подключены к информационным выходам соответственно 31.2 пятого блока памяти 31 и 30.4 двенадцатого блока дешифрации 30. Первый управляющий выход 30.3 двенадцатого блока дешифрации 30 подключен к одиннадцатому управляющему входу 24.11 блока управления 24. Первый 30.1 и второй информационные входы 30.2 двенадцатого блока дешифрации 30 подключены соответственно к информационным выходам 1.3 первого блока памяти 1 и 29.2 десятого счетчика 29. Информационный вход 29.1 десятого счетчика 29 подключен к первому информационному выходу 18.2 восьмого счетчика 18. Второй 28.2 и третий 28.3 информационные входы четвертого блока памяти 28 подключены соответственно ко второму информационному выходу 23.4 одиннадцатого блока дешифрации 23 и вторым информационным выходам 20.4, 21.4 восьмого 20 и девятого 21 блоков дешифрации. Информационный выход 26.1 третьего блока памяти 26 подключен к первому информационному входу 13.1 первого блока сравнения 13. Причем управляющие входы 26.2, 28.1 и 31.1 третьего 26, четвертого 28 и пятого 31 блоков памяти объединены и являются управляющим входом устройства. Четвертый блок памяти 28 снабжен информационным выходом 28.5 подключения к ложной сети.
Входящие в устройство обнаружения удаленных компьютерных атак (УОУКА) блоки имеют следующее назначение:
Первый 1 и второй 6 блоки памяти предназначены соответственно для хранения и последующего считывания с них байтов (битов) пакетов сообщений, поступающих с демодулирующего устройства и блока дешифрации.
Третий 26, четвертый 28 и пятый 31 блоки памяти предназначены для записи и хранения соответствующих эталонных значений параметров IP-адресов (отправителей и получателей), признаков пассивных компьютерных атак и параметров поля «Опции».
Схемы их известны и описаны на фиг.2 патента РФ №2115952.
Первый счетчик 2 предназначен для отсчета 14 байтов в цифровой последовательности для определения IP-пакета (фиг.3) и выработки управляющего сигнала для первого блока дешифрации 3.
Второй счетчик 5 предназначен для отсчета 4 бит для обнаружения поля «Длина заголовка» пакета сообщения.
Третий счетчик 7 предназначен для отсчета 8 байт с целью обнаружения 24-го байта пакета и выработки управляющего сигнала для третьего блока дешифрации 8.
Четвертый счетчик 9 предназначен для отсчета 3 байт до первого байта поля адреса отправителя в заголовке IP-дейтаграммы и выработки управляющего сигнала для четвертого блока дешифрации 11.
Пятый счетчик 10 предназначен для отсчета 4 байт до первого байта поля адреса получателя в заголовке IP-дейтаграммы и выработки управляющего сигнала для пятого блока дешифрации 12.
Шестой счетчик 14 предназначен для определения поля, содержащего номер порта отправителя пакета сообщения в заголовке TCP-пакета (фиг.4).
Седьмой счетчик 16 предназначен для определения поля, содержащего значение резервных битов заголовка TCP-пакета.
Восьмой счетчик 18 предназначен для определения поля «Флаги» заголовка TCP-пакета и выработки управляющих сигналов для восьмого 20, девятого 21 и десятого 19 блоков дешифрации.
Девятый счетчик 22 предназначен для определения поля номера флага АСК и выработки управляющего сигнала для одиннадцатого блока дешифрации 23.
Десятый счетчик 29 предназначен для определения поля «Опции» и выработки управляющего сигнала для двенадцатого блока дешифрации 30.
Схема счетчиков известны и описаны на фиг.6 патента РФ №2219577.
Первый блок дешифрации 3 предназначен для определения в последовательности поступающих данных протокола IP.
Второй блок дешифрации 4 предназначен для определения значения «Длина заголовка».
Третий блок дешифрации 8 предназначен для определения протокола TCP за счет выявления в 24-ом байте числового значения «шесть» в десятичном виде.
Четвертый 11 и пятый 12 блоки дешифрации предназначены для записи в них по четыре байта 27-30 и 31-34 полей адреса отправителя и адреса получателя соответственно.
Шестой блок дешифрации 15 предназначен для определения записи 35 и 36 байтов и определяет числовое значение «ноль» (00) в десятичном виде.
Седьмой блок дешифрации 17 предназначен для определения значения поля резервных бит.
Десятый блок дешифрации 19 предназначен для определения случая установки флага АСК и формирования управляющего сигнала, поступающего на девятый счетчик 22.
Восьмой блок дешифрации 20 используется для определения случая установки всех флагов.
Девятый блок дешифрации 21 используется для определения случая одновременной установки флагов SYN/FIN.
Одиннадцатый блок дешифрации 23 записывает 4 байта номера АСК и формирует сигнал для записи значения флага в четвертый блок памяти 28.
Двенадцатый блок дешифрации 30 предназначен для записи в него 4 байт поля «Опции».
Схема блоков дешифрации известны и описаны на фиг.2 патента РФ №2219577.
Первый блок сравнения 13 предназначен для сравнения значений IP-адресов отправителя и получателя с соответствующими эталонными значениями и выработки управляющих сигналов на блок управления 24.
Второй блок сравнения 32 предназначен для сравнения значений поля «Опции» с соответствующими эталонными значениями и выработки управляющих сигналов на блок управления 24.
Схема компараторов известна и описана на рис.1.134 стр.185 в книге Шило В.Л. «Популярные цифровые микросхемы»: Справочник - М: Радио и связь, 1987.
Блок управления 24 предназначен для выработки управляющих сигналов при реализации требуемого алгоритма работы устройством обнаружения удаленных компьютерных атак. Схема блока управления 24 может быть реализована различным образом, в частности как показано на фиг.2.
Блок управления 24 содержит элементы ИЛИ 24.1 и 24.3, устройство задержки 24.2 и шифраторы 24.4-24.7. Схемы элементов ИЛИ известны и показаны на рис.167 стр.78 в книге Якубовский С. В «Цифровые и аналоговые интегральные микросхемы»: Справочник. - М.: Радио и связь, 1990.
В качестве устройства задержки 24.2 может быть использована одна из известных микросхем, например, показанная на рис.1.78 стр.111 в книге Шило В.Л. «Популярные цифровые микросхемы»: Справочник - М: Радио и связь, 1987.
В качестве шифраторов 24.4-24.7 может быть использована одна из известных микросхем, например, показанная на рис.1.101 стр.141 в книге Шило В.Л. «Популярные цифровые микросхемы»: Справочник - М: Радио и связь, 1987.
Блок индикации 25 предназначен для визуального отображения принятого решения. Схемы индикаторов известны и описаны на рис.7.1 на стр.197 в книге Вениаминов В.Н., Лебедев О.Н., Мирошниченко А.И. «Микросхемы и их применение»: Справочное пособие. - М.: Радио и связь, 1989.
Разрядность шины «Входная шина сообщений» определяется разрядностью анализируемых пакетов сообщений, в связи с тем, что устройство обрабатывает байты, шина является восьмиразрядной.
Заявленное УОУКА работает следующим образом.
При получении с выхода блока управления 24 разрешения на запись (логическая «1») производится заполнение ячеек оперативного запоминающего устройства первого блока памяти 1 байтами пакета, поступившими с демодулирующего устройства (канального контроллера). После того как записаны все байты очередного пакета анализируемого протокола, на выходе блока управления 24 формируется разрешение на побайтное считывание информации (логический «0»).
С выхода первого блока памяти 1 байты пакетов последовательно поступают на информационные входы первого 3, второго 4, третьего 8, четвертого 11, пятого 12, шестого 15, седьмого 17, восьмого 20, девятого 21, десятого 19, одиннадцатого 23 и двенадцатого 30 блоков дешифрации.
При поступлении на вход 2.1 первого счетчика 2 сигнала с блока управления 24 (логический «0») считывается 14 байт для определения в сигнальной цифровой последовательности значения «шесть» (06) в десятичном виде, соответствующего наличию в пакете протокола IP. Необходимо отметить, что в заявке рассматривается формат кадра Ethernet 802.3//LLC. В случае других типов кадра, например для Ethernet DIX (Ethernet II), длина этого поля составит 2 байта и его значение соответствует в десятичном виде числу «восемь» (0800) (Кульгин М. Технологии корпоративных сетей. Энциклопедия. - СПб.: Издательство "Питер", 1999. - 704 с.).
Если значение «шесть» не найдено, на первом выходе 3.3 первого блока дешифрации 3 формируется сигнал, поступающий на первый вход 24.1 блока управления 24.
На втором выходе 3.4 первого дешифратора 3 формируется управляющий сигнал, поступающий на второй счетчик 5, который отсчитывает 4 бита для обнаружения значения поля «Длина заголовка» и вырабатывает на первом выходе 5.2 управляющий сигнал разрешения записи этих бит во второй блок дешифрации 4, который служит для определения значения поля «Длина заголовка». На выходе второго блока дешифрации 4 формируется сигнал для записи значения поля «Длина заголовка» во второй блок памяти 6.
На втором выходе 5.3 второго счетчика 5 формируется управляющий сигнал, поступающий на третий счетчик 7, который отсчитывает 8 байт для обнаружения 24-го байта пакета и вырабатывает управляющий сигнал разрешения записи этого байта в третий блок дешифрации 8. Блок дешифрации 8 предназначен для определения в этом байте числового значения «шесть» (06) в десятичном виде. В этом случае используемым протоколом является TCP. (Кульгин М. Технологии корпоративных сетей. Энциклопедия. - СПб.: Издательство "Питер", 1999. - 704 с.).
Если значение «шесть» не найдено, то на первом выходе 8.3 третьего блока дешифрации 8 формируется сигнал, поступающий на второй вход блока управления 24.
На третьем выходе 8.5 третьего блока дешифрации 8 формируется сигнал, поступающий на четвертый счетчик 9, который отсчитывает 3 байта до появления первого байта поля адреса отправителя в заголовке IP-дейтаграммы и вырабатывает на выходе 9.2 управляющий сигнал разрешения записи следующих четырех байтов сигнальных цифровых последовательностей (27-30) в четвертый блок дешифрации 11. На втором выходе 8.4 третьего блока дешифрации 8 формируется сигнал, поступающий на пятый счетчик 10, который отсчитывает 4 байта до первого поля адреса получателя в заголовке IP-дейтаграммы и вырабатывает на выходе 10.2 управляющий сигнал разрешения записи следующих четырех байтов сигнальных цифровых последовательностей (31-34) в пятый блок дешифрации 12.
В первом блоке сравнения 13 выделенные значения параметров адресов сравниваются с соответствующими эталонными значениями, хранящимися в третьем блоке памяти 26 и в случае их совпадения на втором выходе блока 13 вырабатывается управляющий сигнал в виде логической "1", поступающей на третий вход блока управления 24. Если адреса не совпали, вырабатывается управляющий сигнал - логический "0".
На втором выходе 13.5 первого блока сравнения 13 вырабатывается управляющий сигнал, поступающий на второй вход 14.2 шестого счетчика 14, который отыскивает поле, содержащее номер порта источника в заголовке TCP. На выходе 14.3 шестого счетчика 14 вырабатывается управляющий сигнал разрешения записи следующих двух байтов сигнальных цифровых последовательностей в шестой блок дешифрации 15. Шестой блок дешифрации 15 предназначен для определения в этом байте числового значения «ноль» (00) в десятичном виде. В этом случае на втором выходе блока 15 вырабатывается управляющий сигнал, поступающий на четвертый вход блока управления 24.
С первого выхода шестого блока дешифрации 15 поступает управляющий сигнал на седьмой счетчик 16, который отыскивает поле, содержащее значение резервных битов заголовка TCP-пакета. Седьмой счетчик 16 вырабатывает управляющие сигналы для записи в седьмой блок дешифрации 17 следующих 6 бит. Седьмой блок дешифрации 17 предназначен для определения значения поля резервных бит. Если это значение отлично от «нуля» (00) в десятичном виде, на первом выходе дешифратора 17 формируется управляющий сигнал, поступающий на пятый вход блока управления 24.
Со второго выхода 17.4 седьмого блока дешифрации 17 формируется управляющий сигнал, поступающий на восьмой счетчик 18, который отыскивает поле «Флаг» в заголовке TCP-пакетов и формирует управляющие сигналы для записи следующих 6 бит в восьмой 20, девятый 21 и десятый 19 блоки дешифрации. Восьмой 20, девятый 21, десятый 19 блоки дешифрации предназначены для определения состояния поля «Флаги» путем сложения с определенной маской.
Восьмой блок дешифрации 20 используется для определения случая установки всех флагов, в этом случае на его первом выходе формируются управляющий сигнал в виде логической «1», поступающий на шестой вход блока управления 24, в противном случае формируется логический «0». Кроме того, формируется управляющий сигнал для записи значения флага в четвертый блок памяти 28.
Девятый блок дешифрации 21 используется для определения случая одновременной установки флагов SYN/FIN, в этом случае на его первом выходе формируются управляющий сигнал - логическая «1», поступающий на шестой вход блока управления 24, в противном случае формируется логический «0». Кроме того, формируется управляющий сигнал для записи значения флага в четвертый блок памяти 28.
Десятый блок дешифрации 19 используется для определения случая установки флага АСК, в этом случае на его втором выходе формируется управляющий сигнал, поступающий на девятый счетчик 22. Если флаг не установлен, то управляющий сигнал формируется на первом выходе блока 19 и поступает на вход блока управления 24. Девятый счетчик 22 отыскивает поле номера АСК и вырабатывает управляющие сигналы, служащие для записи в одиннадцатый блок 23 дешифрации 4 байта номера АСК. Если значение этого поля отлично от «нуля» (00) в десятичном виде, то на первом выходе блока 23 формируется управляющий сигнал - логическая «1», поступающий на вход блока управления 24, в противном случае формируется логический «0». Кроме того, формируется управляющий сигнал для записи значения флага в четвертый блок памяти 28.
В четвертом блоке памяти 28 производится сбор статистики числа пакетов сообщений, с целью выявления факта воздействия пассивных компьютерных атак.
В качестве признаков, указывающих на факт воздействия на ИТКС пассивных компьютерных атак нарушителем приняты:
последовательное получение в интервале времени UDP-пакетов (фиг.5);
последовательное получение в интервале времени ICMP-запросов (фиг.6);
последовательное получение в интервале времени TCP-пакетов с установленным одним из видов флагов SYN, FIN, АСК, XMAS, NULL.
Это аргументируется следующим. При установке ТСР-соединения первым ПС, который направляют в ИТКС, является ПС с установленным флагом SYN. В зависимости от того, присутствует ли в ИТКС ПЭВМ и/или сервер с указанным адресом, на котором включена необходимая служба, возможны три ситуации. В том случае, если ПЭВМ присутствует и на нем функционирует запрашиваемый порт, ответом будет ПС с флагами АСК и SYN, указывающими на то, что по данному порту может быть установлено соединение. Анализируя данный ответ, нарушитель не только может установить факт присутствия в ИТКС ПЭВМ и/или сервера, но и определить наличие на них определенной сетевой службы.
Если ПЭВМ и/или сервер присутствует, но запрашиваемый порт на нем закрыт, в ответ отправляют TCP-пакет с флагами АСК и RST, указывающими на то, что по запрашиваемому порту соединение установить нельзя. Получив подобный ответ, нарушитель принимает решение о присутствии в ИТКС ПЭВМ и/или сервера с интересующим IP-адресом, но недоступности запрашиваемого порта. Если в ИТКС нет искомого ПЭВМ и/или сервера, то в ответ не будет получено ничего [стандарт Request for Comments, http://tools.ietf.org/html/rfc793 (обращение 29.07.2013)].
С целью определения наличия открытых TCP-портов в ПЭВМ и/или серверах, входящих в состав ИТКС, нарушители работают в следующей последовательности:
отправляют на порт ПЭВМ и/или сервера ПС с флагом SYN с целью организации соединения, и ожидают ответ. Наличие в ответе ПС с флагом АСК означает, что порт открыт, а получение в ответ ПС с флагом RST означает, что порт закрыт;
направляют на порт ПЭВМ и/или сервера ПС с флагом FIN. На прибывший ПС с флагом FIN на закрытый порт ПЭВМ и/или сервер должен ответить ПС с флагом RST, если порт открытый, то ПС с флагом FIN игнорируют;
посылают на порт ПЭВМ и/или сервера ПС с флагом АСК. На прибывший ПС с флагом АСК на закрытый порт ПЭВМ и/или сервер должен ответить RST-пакетом, если порт открытый, то ПС с флагом АСК игнорируют;
отправляют на ПЭВМ и/или сервер ПС с установленными всеми флагами XMAS или сброшенными флагами (NULL). На прибывший ПС с данными значениями флагов на закрытый порт ПЭВМ и/или сервер должен ответить ПС с флагом RST. Указанные пакеты, направленные на открытые порты, игнорируют.
С целью обнаружения открытых UDP-портов в ПЭВМ и/или сервере нарушители направляют UDP-пакет. Если порт открыт, то в ответ ПЭВМ и/или сервер либо ничего не отправляют, либо отправляют ответный UDP-пакет. Если же порт закрыт, то тестируемый ПЭВМ и/или сервер отвечают ICMP-сообщением. В зависимости от полученного ответа нарушители делают соответствующие выводы.
Протокол ICMP используют для определения доступности ПЭВМ и/или серверов ИТКС. Последовательное выполнение ICMP-запросов с перебором адресов из определенного диапазона является КА.
Кроме того, по получаемому ICMP-ответу, а именно по коду ICMP-пакета, нарушители определяют типы операционной системы ПЭВМ и/или серверов.
Реализация пассивных КА является первым этапом воздействия нарушителей на ИТКС и направлена на изучение топологии атакуемой ИТКС, определение типа и версии операционной системы ПЭВМ и/или серверов, выявление доступных сетевых и иных сервисов в атакуемой ИТКС.
При получении в течение одной минуты трех и более пакетов сообщений с одинаковыми флагами или протоколами перенаправляют последующие пакеты сообщений с идентичным «Флагом» и/или видом протокола в ложную сеть. Порядок работы ложной сети известен и описан в статье Сморчкова Е.В., Наконечного Б.М., Нижниковского А.В. Механизм функционирования ложных сетевых информационных объектов в локальных вычислительных сетях // Известия института инженерной физики, №3, 2011. - стр.7-10. При этом формируется управляющий сигнал - логическая «1», поступающий на десятый вход блока управления 24, иначе же формируется логический «0».
На втором выходе восьмого счетчика 18 формируется управляющий сигнал, поступающий на десятый счетчик 29, который отчитывает 4 байта для определения значения поля «Опции» и вырабатывает на первом выходе управляющий сигнал разрешения сохранения этих байт в двенадцатый блок дешифрации 30, который служит для определения параметров поля «Опции».
Поле «Опции» является необязательным и имеет переменную длину. Поддержка опций должна реализоваться во всех модулях IP (узлах и маршрутизаторах). Стандартом определены 8 опций. В предлагаемом устройстве используется опция - «запись маршрута» и/или «безопасности» [RFC 791, Internet Protocol, 1981, сентябрь, стр.14-22].
Во втором блоке сравнения 32 выделенные параметры поля «Опции» сравниваются с эталонными значениями, хранящими в пятом блоке памяти 31 и в случае их совпадения на первом выходе блока сравнения 32 вырабатывается управляющий сигнал в виде логической «1», поступающей на тринадцатый вход блока управления 24. Если значения поля «Опции» не совпали, на первом выходе вырабатывается управляющий сигнал - логический «0», поступающий на двенадцатый вход блока управления 24.
При поступлении управляющего сигнала на первый вход блока управления 24 формируется управляющий сигнал на его четырнадцатом выходе.
При поступлении управляющего сигнала на второй вход блока управления 24 включается линия задержки до момента поступления сигнала на его третий вход, после чего формируется управляющий сигнал на четырнадцатом выходе блока управления 24.
При поступлении управляющего сигнала на входы с третьего по одиннадцатый блока управления 24 подключается соответствующий шифратор. Шифратор необходим для преобразования сигналов, поступающих на его информационный вход в кодовую комбинацию, соответствующую сообщению, которое передается на пятнадцатый выход блока управления 24.
При получении на двенадцатый вход блока управления 24 управляющего сигнала на его пятнадцатом выходе формируется управляющий сигнал, поступающий на первый блок памяти 1, по которому происходит обнуление ячеек памяти. Устройство готово к ведению анализа вновь поступающей входной цифровой последовательности.
Через управляющий вход устройства администратор обновляет эталонные значения параметров пакетов сообщений. Для этого администратор в тестовом режиме функционирования ИТКС измеряет реальные значения полей данных пакетов сообщений для маршрута между каждой парой доверенных адресов получателя и отправителя. После передачи пакета сообщения по ИТКС от отправителя к получателю сообщения, по определенному маршруту, адреса отправителя и получателя (поля «IP адрес отправителя», «IP адрес получателя») и маршрут прохождения пакета (поле «опции») будут иметь одинаковые значение для всех пакетов сообщений, проходящих по этому маршруту. Эти значения запоминают в соответствующие блоки памяти. После того как все эталонные значения проверяемых параметров собраны и записаны в соответствующие блоки памяти, осуществляется перевод ИТКС в режим реальной работы.
Таким образом, благодаря мониторингу широкого спектра существенных признаков компьютерных атак и обнаружению пассивных КА повысилась достоверность их обнаружения, характеризуемая вероятностью обнаружения (Робн). С помощью моделирования получена взаимосвязь значений вероятности обнаружении компьютерных атак от объема полученных пакетов сообщений.
Достижение технического результата поясняется следующим образом. Для способа-прототипа из-за проверки малого количества признаков характеризующих удаленные компьютерные атаки вероятность обнаружения компьютерных атак (Р1обн) ниже, чем у прототипа (Р2обн) в 0,78 раз.
При этом разница в вероятности обнаружения компьютерных атак тем больше, чем больше объем пакетов сообщений, чем и достигается сформулированный технический результат, т.е. повышение достоверности обнаружения компьютерных атак.
Полученные результаты расчетов подтверждают возможность достижения указанного технического результата при использовании заявленного устройства.
название | год | авторы | номер документа |
---|---|---|---|
УСТРОЙСТВО ОБНАРУЖЕНИЯ КОМПЬЮТЕРНЫХ АТАК В МАРШРУТАХ | 2014 |
|
RU2566331C1 |
УСТРОЙСТВО ПОИСКА ИНФОРМАЦИИ | 2005 |
|
RU2301443C2 |
УСТРОЙСТВО ОПРЕДЕЛЕНИЯ СОСТОЯНИЯ СЕТИ СВЯЗИ | 2008 |
|
RU2383105C1 |
УСТРОЙСТВО ПОИСКА ИНФОРМАЦИИ | 2009 |
|
RU2417537C1 |
СПОСОБ АНАЛИЗА ИНФОРМАЦИОННОГО ПОТОКА И ОПРЕДЕЛЕНИЯ СОСТОЯНИЯ ЗАЩИЩЕННОСТИ СЕТИ НА ОСНОВЕ АДАПТИВНОГО ПРОГНОЗИРОВАНИЯ И УСТРОЙСТВО ДЛЯ ЕГО ОСУЩЕСТВЛЕНИЯ | 2013 |
|
RU2546236C2 |
СПОСОБ ОБНАРУЖЕНИЯ КОМПЬЮТЕРНЫХ АТАК В ИНФОРМАЦИОННО-ТЕЛЕКОММУНИКАЦИОННОЙ СЕТИ | 2013 |
|
RU2531878C1 |
УСТРОЙСТВО МОНИТОРИНГА БЕЗОПАСНОСТИ АВТОМАТИЗИРОВАННЫХ СИСТЕМ | 2004 |
|
RU2270478C1 |
Кольцевая пакетная сеть передачи информации | 1987 |
|
SU1555888A1 |
УСТРОЙСТВО ОБНАРУЖЕНИЯ АТАК В БЕСПРОВОДНЫХ СЕТЯХ СТАНДАРТА 802.11G | 2013 |
|
RU2545516C2 |
Устройство для сопряжения канала ввода-вывода с абонентом | 1989 |
|
SU1695312A1 |
Изобретение относится к области электросвязи. Техническим результатом является повышение достоверности обнаружения удаленных компьютерных атак. Устройство обнаружения удаленных компьютерных атак содержит счетчики, блоки дешифрации, блоки сравнения, блок управления, блок индикации и блоки памяти. Первый блок памяти снабжен входной шиной сообщений, а его информационный выход подключен к первым информационным входам первого, третьего, четвертого, пятого, шестого, седьмого, десятого, восьмого, девятого, одиннадцатого и двенадцатого блоков дешифрации, управляющие выходы которых подключены к соответствующим управляющим входам блока управления, управляющие выходы которого подключены к блоку индикации и первому блоку памяти. Управляющие выходы счетчиков подключены к управляющим входам соответствующих блоков дешифрации. Информационные выходы четвертого и пятого блоков дешифрации подключены к первому блоку сравнения, информационный выход которого подключен к третьему блоку памяти. Информационный выход двенадцатого блока дешифрации подключен к информационному входу второго блока сравнения, информационный выход которого подключен к пятому блоку памяти. Причем управляющие входы третьего, четвертого и пятого блоков памяти объединены и являются управляющим входом устройства, четвертый блок памяти снабжен информационным выходом подключения к ложной сети. 7 ил.
Устройство обнаружения удаленных компьютерных атак, содержащее первый блок памяти, снабженный входной шиной сообщений, а его информационный выход подключен к первым информационным входам первого, третьего, четвертого, пятого, шестого, седьмого, десятого, восьмого, девятого и одиннадцатого блоков дешифрации, первый управляющий вход первого блока памяти подключен к управляющему входу первого счетчика, управляющий выход которого подключен ко второму управляющему входу первого блока дешифрации, управляющие выходы которого подключены соответственно к первому управляющему входу блока управления и управляющему входу второго счетчика, первый управляющий выход которого подключен к управляющему входу второго блока дешифрации, управляющий выход которого подключен к управляющему входу второго блока памяти, информационный выход которого подключен к первому информационному входу шестого счетчика, второй управляющий вход которого подключен ко второму управляющему выходу первого блока сравнения, управляющий выход шестого счетчика подключен ко второму управляющему входу шестого блока дешифрации, первый управляющий выход которого подключен к четвертому управляющему входу блока управления, пятый управляющий вход которого подключен к первому управляющему выходу седьмого блока дешифрации, второй управляющий выход которого подключен к управляющему входу восьмого счетчика, второй управляющий выход которого подключен ко вторым управляющим входам десятого, восьмого и девятого блоков дешифрации, первый управляющий выход которого подключен к шестому управляющему входу блока управления, седьмой и восьмой управляющие входы которого подключены соответственно к первому управляющему выходу восьмого блока дешифрации и первому управляющему выходу десятого блока дешифрации, второй управляющий выход которого подключен к управляющему входу девятого счетчика, управляющий выход которого подключен к первому управляющему входу одиннадцатого блока дешифрации, первый управляющий выход которого подключен к десятому управляющему входу блока управления, второй и третий управляющие входы которого подключены соответственно к первому управляющему выходу третьего блока дешифрации и первому управляющему выходу первого блока сравнения, второй информационный вход которого подключен к информационному выходу пятого блока дешифрации, второй управляющий вход которого подключен к управляющему выходу пятого счетчика, информационный вход которого подключен ко второму информационному выходу третьего блока дешифрации, третий информационный выход которого подключен к информационному входу четвертого счетчика, управляющий выход которого подключен ко второму управляющему входу четвертого блока дешифрации, информационный выход которого подключен к третьему информационному входу первого блока сравнения, второй управляющий выход второго счетчика подключен к управляющему входу третьего счетчика, управляющий выход которого подключен ко второму управляющему входу третьего блока дешифрации, второй управляющий выход шестого блока дешифрации подключен к управляющему входу седьмого счетчика, управляющий выход которого подключен ко второму управляющему входу седьмого блока дешифрации, первый, второй и третий управляющие выходы блока управления подключены соответственно к первому и второму управляющим входам первого блока памяти, а также к управляющему входу блока индикации, отличающееся тем, что дополнительно введены второй блок сравнения, двенадцатый блок дешифрации, десятый счетчик, а также третий, пятый и четвертый блоки памяти, первый управляющий выход которого подключен к девятому управляющему входу блока управления, двенадцатый и тринадцатый управляющие входы которого подключены соответственно к первому и второму управляющим выходам второго блока сравнения, первый и второй информационные входы которого подключены соответственно к информационным выходам пятого блока памяти и двенадцатого блока дешифрации, первый управляющий выход которого подключен к одиннадцатому управляющему входу блока управления, первый и второй информационные входы двенадцатого блока дешифрации подключены соответственно к информационному выходу первого блока памяти и управляющему выходу десятого счетчика, управляющий вход которого подключен к первому управляющему выходу восьмого счетчика, второй и третий информационные входы четвертого блока памяти подключены соответственно ко второму информационному выходу одиннадцатого блока дешифрации и вторым информационным выходам восьмого и девятого блоков дешифрации, информационный выход третьего блока памяти подключен к первому информационному входу первого блока сравнения, причем управляющие входы третьего, четвертого и пятого блоков памяти объединены и являются управляющим входом устройства, четвертый блок памяти снабжен информационным выходом подключения к ложной сети.
УСТРОЙСТВО ПОИСКА ИНФОРМАЦИИ | 2005 |
|
RU2301443C2 |
УСТРОЙСТВО ЗАЩИТЫ ИНФОРМАЦИОННЫХ РЕСУРСОВ ВЫЧИСЛИТЕЛЬНОЙ СЕТИ | 2005 |
|
RU2313127C2 |
УСТРОЙСТВО ЗАЩИТЫ ИНФОРМАЦИИ ОТ НЕСАНКЦИОНИРОВАННОГО ДОСТУПА ДЛЯ КОМПЬЮТЕРОВ ИНФОРМАЦИОННО-ВЫЧИСЛИТЕЛЬНЫХ СИСТЕМ | 2006 |
|
RU2321055C2 |
Топчак-трактор для канатной вспашки | 1923 |
|
SU2002A1 |
Способ приготовления мыла | 1923 |
|
SU2004A1 |
УСТРОЙСТВО МОНИТОРИНГА БЕЗОПАСНОСТИ АВТОМАТИЗИРОВАННЫХ СИСТЕМ | 2004 |
|
RU2270478C1 |
Авторы
Даты
2015-02-10—Публикация
2014-03-03—Подача