СПОСОБ ЗАЩИТЫ ВЫЧИСЛИТЕЛЬНЫХ СЕТЕЙ Российский патент 2019 года по МПК G06F21/62 H04L12/28 

Описание патента на изобретение RU2696549C1

Изобретение относится к электросвязи и может быть использовано в системах обнаружения атак с целью оперативного выявления и противодействии несанкционированным воздействиям в вычислительных сетях.

Известен "Способ мониторинга безопасности автоматизированных систем" по патенту РФ №2261472, кл. G06F 12/14, 11/00 заявл. 29.03.2004. Известный способ включает следующую последовательность действий. Ведение учета правил установления и ведения сеанса связи путем увеличения количества запоминаемых пакетов сообщений и введения максимально допустимого количества пакетов сообщений, что необходимо для обеспечения устойчивого функционирования автоматизированных систем. При этом для проведения мониторинга предварительно определяют порог срабатывания (чувствительности) системы мониторинга безопасности автоматизированной системы, который определяется максимально допустимым количеством пакетов сообщений и количеством эталонов, причем значения показателей могут выбираться в зависимости от требуемой достоверности обнаружения атаки.

Недостатком данного способа является относительно низка достоверность обнаружения несанкционированных воздействий в вычислительных сетях, что обусловлено отсутствием правил установления и ведения сеанса связи.

Известен также "Способ контроля информационных потоков в цифровых сетях связи" по патенту РФ №2267154, класс G06F 15/40, заявл. 13.07.2004, заключающийся в том, что предварительно задают N≥1 опорных идентификаторов санкционированных информационных потоков (ИП), содержащих адреса отправителей и получателей пакетов сообщений, принимают из канала связи пакет сообщений, выделяют из заголовка принятого пакета сообщений идентификатор ИП, сравнивают выделенный идентификатор с предварительно заданными опорными идентификаторами санкционированных ИП и при их совпадении передают пакет сообщений получателю, а при их несовпадении сравнивают адрес отправителя, указанный в идентификаторе принятого пакета сообщений с адресами отправителей, указанными в опорных идентификаторах санкционированных ИП.

Недостатком данного способа является относительно низка защищенность от несанкционированных воздействий, признаками наличия которых являются несанкционированные ИП.

Известен Наиболее близким по своей технической сущности к заявленному является второй вариант "Способа защиты вычислительных сетей" по патенту РФ №2307392, класс G06F 21/00, H04L 9/32, заявл. 02.05.2006, заключающийся в том, что предварительно задают Р≥1 ложных адресов абонентов вычислительной сети, эталоны идентификаторов типа протоколов взаимодействия, врем задержки отправки пакетов сообщений tзад, а при несовпадении выделенных идентификаторов очередного принятого пакета с идентификаторами ранее запомненного i-го несанкционированного информационного потока сравнивают адрес получателя в принятом пакете сообщений с предварительно заданными ложными адресами абонентов вычислительной сети, и при их несовпадении, а так же при выполнении условия Ki>Kmax, блокируют передачу пакета сообщений и переходят к приему очередного пакета сообщений, а при несовпадении адреса отправителя в принятом пакете сообщений с адресами отправителей опорных идентификаторов санкционированных информационных потоков или совпадении адреса получателя в принятом пакете сообщений с адресами получателей опорных идентификаторов санкционированных информационных потоков, или его совпадении с предварительно заданными ложными адресами абонентов вычислительной сети запоминают идентификатор очередного несанкционированного информационного потока, увеличивают на единицу число его появлений Кi и в случае невыполнении условия Кi≥Кmax, формируют ответный пакет сообщений, соответствующий идентифицируемому протоколу взаимодействия, а затем через заданное время задержки отправки пакетов сообщений tзад снижают скорость передачи сформированного пакета сообщений и передают его отправителю, после чего принимают из канала связи очередной пакет сообщений.

Недостатком данного способа является относительно низкая защищенность от несанкционированного воздействия, обусловленная отсутствием контроля последовательности воздействий на вычислительную сеть и определения выбранной нарушителем стратегии, что может повлиять на своевременность и адекватность осуществляемых защитных действий.

Наиболее близким по своей технической сущности к заявленному является "Способ защиты вычислительных сетей" по патенту РФ № 2475836, класс G06F 21/00, H04L 9/32, заявл. 12.03.2012, заключающийся в том, что предварительно запоминают N≥1 опорных идентификаторов санкционированных информационных потоков, содержащих адреса отправителей и получателей пакетов сообщений, задают Р≥1 ложных адресов абонентов вычислительной сети, задают множество эталонных наборов появлений несанкционированных информационных потоков отличающихся друг от друга идентификаторами Sэт={Sj}, а так же задают пороговое значение коэффициента совпадения Qсовп порог последовательности появлений несанкционированного информационного потока с соответствующим эталонным набором, после выделения идентификаторов из заголовка очередного принятого пакета сообщений и их сравнения с опорными идентификаторами, при несовпадении адреса получателя в принятом пакете сообщений несанкционированного информационного потока с заданными ложными адресами абонентов вычислительной сети дополнительно добавляют его в список предварительно заданных ложных адресов абонентов вычислительной сети, затем передают пакет сообщения на заданные ложные адреса абонентов вычислительной сети, сравнивают идентификаторы появления Кi принимаемого несанкционированного потока со значениями имеющимися в эталонных наборах Sj появлений несанкционированных информационных потоков, при несовпадении формируют новый Sj+1 эталонный набор и запоминают его, после сравнивают значения полученного коэффициента совпадения Qсовп с пороговым значением Qсовп порог., и при выполнении условия QсовпQсовп порог блокируют несанкционированный информационный поток, и формируют сигнал атаки на вычислительную сеть.

Техническая проблема заключается в относительно низкой эффективности системы защиты и ложной вычислительной сети, обусловленной использованием их на каждой локально-вычислительной сети распределенной системы, а также отсутствия взаимного обмена последовательностями воздействий нарушителя между ними.

Техническим результатом является повышение эффективности системы защиты, в том числе достоверности обнаружения несанкционированного воздействия на вычислительную сеть за счет существенного сокращения количества элементов ложной вычислительной сети и формирования единого множества последовательностей действий нарушителя.

Технический проблема решается тем, что в способе защиты вычислительных сетей выполняется следующая последовательность действий, предварительно запоминают N≥1 опорных идентификаторов санкционированной информационных потоков, содержащих адреса отправителей и получателей потоков сообщений, задают P≥1 элементов ложной вычислительной сети, задают множество эталонных наборов проявлений несанкционированных информационных потоков Sэт={Sj} соответствующих определенным типам компьютерных атак Sj={Cr}, а также задают пороговое значение коэффициента совпадения Qсовп.порг последовательности появления несанкционированного информационного потока с соответствующим эталонным набором, принимают очередной пакет сообщений и определяют его легитимность, для чего выделяют из его заголовка идентификаторы, которые сравнивают с опорными идентификаторами, и идентифицируют несанкционированный информационный поток, для чего сравнивают идентификаторы появления Кi принимаемого несанкционированного потока со значениями Сr в эталонных наборах Sj появлений несанкционированных информационных потоков, и при несовпадении формируют новый Sj+1 эталонный набор и запоминают его во множестве эталонных наборов появлений несанкционированного информационного потока, а при совпадении запоминают номера эталонных наборов, которым принадлежит i-ое появление несанкционированного информационного потока, и вычисляют значение коэффициента совпадения Qсовп последовательности появлений несанкционированного информационного потока с запомненными эталонными наборами, после чего сравнивают значения полученного коэффициента совпадения Qсовп с пороговым значением Qсовп порог, согласно изобретению дополнительно формируют множество вычислительных сетей M составляющих распределенную информационную систему, а также задают IP адреса единой ложной вычислительной сети. Затем после выделения идентификаторов из заголовка очередного принятого пакета сообщений и их сравнения с опорными идентификаторами на одной из вычислительных сетей Mk, при несовпадении передают данный пакет на единую ложную вычислительную сеть, для чего записывают значения полей IP адресов получателя и отправителя в поле данных пакета, а в поле заголовка IP адрес единой ложной вычислительной сети. Принимают текущий пакет в единой ложной вычислительной сети и выделяют из него IP адреса получателя и отправителя абонентов вычислительной сети Mk, после чего сравнивают данные адреса с адресами получателей и отправителей несанкционированных информационных потоков, ранее принятых на единой ложной вычислительной сети, и при их несовпадении используют очередной свободный элемент ложной вычислительной сети для дальнейшей обработки пакета сообщения, а при их совпадении передают этот пакет сообщения на соответствующий элемент единой ложной вычислительной сети обрабатывающий этот несанкционированный информационный поток от вычислительной сети Mk. После идентификации несанкционированного потока вычисляется значение коэффициентов совпадения Qсовп последовательности проявления несанкционированного информационного потока, а при невозможности идентификации запоминают данные проявления как новый эталонный набор Sj+1 в единой базе данных эталонных наборов используемую для обработки несанкционированных информационных потоков от всех вычислительных сетей. Затем после сравнения полученного значения коэффициентов совпадения Qсовп с пороговым значением Qсовп порг, и в случае его превышения формируют служебный пакет для средства защиты вычислительной сети Mk о необходимости блокировки несанкционированного информационного потока, и передают его на соответствующую вычислительную сеть. После чего освобождают элемент единой ложной вычислительной сети от обработки данного несанкционированного информационного потока, и отмечают его как свободный для обработки очередных пакетов сообщений несанкционированных информационных потоков, а в случае выполнения условия Qсовп≥ Qсовп порг формируют ответный пакет сообщения, для чего в заголовок записывают ранее выделенные значения IP адресов отправителя и получателя абонентов вычислительной сети Mk ,и передают его.

Проведенный анализ уровня техники позволил установить, что аналоги, характеризующиеся совокупностями признаков, тождественным всем признакам заявленного способа, отсутствуют. Следовательно, заявленное изобретение соответствует условию патентоспособности "новизна".

Перечисленная новая совокупность существенных признаков обеспечивает расширение возможности способа прототипа за счет существенного сокращения количества элементов ложной вычислительной сети и формирования единого множества последовательностей действий нарушителя.

Результаты поиска известных решений в данной и смежной областях техники с целью выявления признаков, совпадающих с отличительными от прототипов признаками заявленного изобретения, показали, что они не следуют явным образом из уровня техники. Из определенного заявителем уровня техники не выявлена известность влияния предусматриваемых существенными признаками заявленного изобретения на достижение указанного технического результата. Следовательно, заявленное изобретение соответствует условию патентоспособности "изобретательский уровень".

«Промышленная применимость» способа обусловлена наличием элементной базы, на основе которой могут быть выполнены устройства, реализующие данный способ с достижением указанного в изобретении результата.

Заявленный способ поясняется чертежами, на которых показано:

на фиг. 1 – схема поясняющая построение рассматриваемой сети;

на фиг. 2 – блок-схема алгоритма способа защиты вычислительных сетей (ВС).

Реализация заявленного способа можно пояснить на схеме вычислительной сети, показанной на фиг. 1.

Показанная ВС состоит из маршрутизаторы 1 подключающие внутренние вычислительные сети 2 к внешней сети 3. Внутренняя вычислительная сеть в свою очередь состоит из защищаемой локально-вычислительной сети (ЛВС) 4. В общем случае защищаемая ЛВС 4 представляет собой совокупность ПЭВМ 4.11–4.1N, периферийного и коммуникационного оборудования 6, объединенного физическими линиями связи. Все эти элементы определяются идентификаторами, в качестве которых в наиболее распространенном стеке протоколов TCP/IP используются сетевые адреса (IP-адреса). Кроме того имеется средство защиты 8.

Ложная ЛВС 5 состоит из ПЭВМ 5.11–5.1P, являющиеся элементами единой ложной вычислительной сети и имеющие ложные адреса, а также средство защиты 8 и единую базу данных 9 эталонного набора появлений несанкционированных информационных потоков.

На фиг. 2 представлена блок-схема последовательности действий, реализующих алгоритма способа защиты ВС, в которой приняты следующие обозначения:

N≥1 – база из опорных идентификаторов санкционированных ИП, содержащих адреса отправителей и получателей пакетов сообщений;

P≥1 – база из ложных адресов абонентов вычислительной сети;

tзад – время задержки отправки пакетов сообщений;

ID – идентификатор ИП;

{IDo} – совокупность опорных идентификаторов санкционированных ИП;

IDнс – идентификатор несанкционированного ИП;

{IDнс} – совокупность идентификаторов ранее запомненного несанкционированного ИП;

M – множество вычислительных сетей составляющих распределенную информационную систему;

Mk – определенная вычислительная сеть из множества М;

IPo – адрес отправителя, указанный в идентификаторе принятого пакета сообщений;

IPп –адресов получателя, указанный в идентификаторе принятого пакета сообщений;;

{IPл} – совокупность адресов ложной вычислительной сети;

Sэт – множество эталонных наборов появлений несанкционированных ИП;

Sj – эталонный набор соответствующий определенному j-му типу компьютерной атаки;

Сr – последовательность появлений несанкционированного ИП отличающихся друг от друга идентификаторами;

Qсовп порог – пороговое значение коэффициента совпадения последовательности появлений несанкционированного ИП;

Qсовп – значение коэффициента совпадения последовательности появлений несанкционированного ИП.

В большинстве случаев распределенные информационные системы учреждений (предприятий) состоят из нескольких локальных вычислительных сетей (ЛВС), при этом их количество варьирует от 5 до 50 [Ю. В. Чекмарев Локальные вычислительные сети. М.: ДМК Пресс – 2009.,
с. 168] в соответствии с количеством структурных подразделений (филиалов), а также функциональной необходимостью (различают сети для различных служб учреждения). Например, для предприятия имеющего 5-6 филиалов в каждом из которых по 2-3 сети (финансовая, справочная, техническая), всего получится 10-18 ЛВС объединенных в единую распределенную информационную систему.

На фиг. 3 представлена блок-схема последовательности действий, реализующих алгоритм способа защиты вычислительных сетей.

Первоначально задают исходные данные: база из опорных идентификаторов санкционированных ИП, содержащих адреса отправителей и получателей пакетов сообщений; база из ложных адресов абонентов вычислительной сети; значение коэффициента совпадения последовательности появлений несанкционированного ИП (блок 1, Фиг. 2).

Затем формируется единая ложная вычислительная сеть состоящая из определенного количества требуемых элементов, достаточных для обработки несанкционированных информационных потоков (ИП) и единой базы данных эталонных наборов проявлений несанкционированных ИП (блок 2, Фиг. 2).

Далее принимают очередной пакет сообщений и определяют его легитимность и при несовпадении передают данный пакет на единую ложную вычислительную сеть, для чего записывают значения полей IP адресов получателя и отправителя в поле данных пакета, а в поле заголовка IP адрес единой ложной вычислительной сети (блок 4–11, Фиг. 2).

Таким образом, пакеты сообщений, относящиеся к несанкционированным информационным потокам от всех ЛВС, передаются на единую ложную вычислительную сеть, в которой данные пакеты распределяются по свободным элементам ложной вычислительной сети для дальнейшей обработки пакета сообщения с учетом возможности формирования поточной структуры, при которой пакеты, относящиеся к одному сообщению несанкционированного информационного потока обрабатываются одним и тем же элементом ложной вычислительной сети (блок 11–18, Фиг. 2).

При этом формирование и использование единой базы данных эталонного набора появлений несанкционированных информационных потоков позволяет существенно уменьшить время на поддержания актуализации данной базы данных, под которой понимается соответствие ее содержания для любого момента времени реальным данных о состоянии системы [Коннолли Т., Бегг К. Базы данных. Проектирование, реализация и сопровождение. М. : Издательский дом "Вильяме" – 2003., с. 242, 725].

Далее при выполнении условия QсовпQсовп порог формируют служебный пакет для средства защиты вычислительной сети Mk о необходимости блокировки несанкционированного информационного потока, и передают его на соответствующую вычислительную сеть, после чего освобождают элемент единой ложной вычислительной сети от обработки данного несанкционированного информационного потока, и отмечают его как свободный для обработки очередных пакетов сообщений несанкционированных информационных потоков, а в случае выполнения условия Qсовп≥ Qсовп порг формируют ответный пакет сообщения, для чего в заголовок записывают ранее выделенные значения IP адресов отправителя и получателя абонентов вычислительной сети Mk ,и передают его (блок 20–24, Фиг.2).

Достижение технического результата поясняется следующим образом. Для предлагаемого способа в отличие от способа-прототипа для формирования единой ложной вычислительной сети требуется в несколько раз меньше сетевых элементов, а требуемые ресурсы канала связи для передачи пакетов сообщений при взаимодействии с единой ложной вычислительной сети имеют не значительные значения [Методический подход к оцениванию эффективности ложных информационных систем. Язов Ю. К. // Вопросы кибербезопасности №1(2) – 2014] и составляют тысячные доли процентов от загруженности канала связи. Это позволяет сделать вывод, что в отличие от способа-прототипа, эффективность системы защиты увеличится за счет существенного сокращения количества элементов ложной вычислительной сети и формирования единого множества последовательностей действий нарушителя и существенно низких значений загруженности канала связи служебными пакетами сообщений.

Таким образом, заявленный способ за счет существенного сокращения количества элементов ложной вычислительной сети и формирования единого множества последовательностей действий нарушителя позволяет повысить эффективности системы защиты, в том числе достоверности обнаружения несанкционированного воздействия на вычислительную сеть.

Похожие патенты RU2696549C1

название год авторы номер документа
СПОСОБ ЗАЩИТЫ ВЫЧИСЛИТЕЛЬНЫХ СЕТЕЙ 2012
  • Баленко Ольга Александровна
  • Бухарин Владимир Владимирович
  • Васинев Дмитрий Александрович
  • Кирьянов Александр Владимирович
  • Стародубцев Юрий Иванович
  • Стукалов Игорь Владиславович
RU2475836C1
СПОСОБ ЗАЩИТЫ ВЫЧИСЛИТЕЛЬНЫХ СЕТЕЙ С ИДЕНТИФИКАЦИЕЙ НЕСКОЛЬКИХ ОДНОВРЕМЕННЫХ АТАК 2019
  • Бухарин Владимир Владимирович
  • Казачкин Антон Владимирович
  • Карайчев Сергей Юрьевич
  • Сысоев Павел Анатольевич
  • Васечкин Евгений Александрович
RU2739206C1
СПОСОБ ЗАЩИТЫ ВЫЧИСЛИТЕЛЬНЫХ СЕТЕЙ ОТ КОМПЬЮТЕРНЫХ АТАК, НАПРАВЛЕННЫХ НА РАЗЛИЧНЫЕ УЗЛЫ И ИНФОРМАЦИОННЫЕ РЕСУРСЫ 2021
  • Карайчев Сергей Юрьевич
  • Бухарин Владимир Владимирович
  • Никитин Александр Сергеевич
  • Пикалов Евгений Дмитриевич
  • Васечкин Евгений Александрович
  • Стус Александр Александрович
RU2782704C1
СПОСОБ ЗАЩИТЫ ВЫЧИСЛИТЕЛЬНЫХ СЕТЕЙ НА ОСНОВЕ АДАПТИВНОГО ВЗАИМОДЕЙСТВИЯ 2019
  • Бухарин Владимир Владимирович
  • Казачкин Антон Владимирович
  • Карайчев Сергей Юрьевич
  • Дамм Виктор Александрович
  • Булгаков Сергей Иванович
RU2715165C1
СПОСОБ ЗАЩИТЫ ВЫЧИСЛИТЕЛЬНЫХ СЕТЕЙ НА ОСНОВЕ ЛЕГЕНДИРОВАНИЯ 2023
  • Бухарин Владимир Владимирович
  • Карайчев Сергей Юрьевич
  • Никитин Александр Сергеевич
  • Курчатов Максим Сергеевич
  • Королёв Михаил Викторович
  • Сысоев Павел Анатольевич
  • Мельников Дмитрий Геннадьевич
RU2814463C1
СПОСОБ ЗАЩИТЫ ВЫЧИСЛИТЕЛЬНЫХ СЕТЕЙ 2018
  • Бухарин Владимир Владимирович
  • Карайчев Сергей Юрьевич
  • Казачкин Антон Владимирович
  • Санин Юрий Васильевич
  • Ступаков Игорь Георгиевич
  • Бурховецкий Алексей Сергеевич
RU2674802C1
СПОСОБ (ВАРИАНТЫ) ЗАЩИТЫ ВЫЧИСЛИТЕЛЬНЫХ СЕТЕЙ 2006
  • Выговский Леонид Сергеевич
  • Заргаров Иван Артемович
  • Кожевников Дмитрий Анатольевич
  • Максимов Роман Викторович
  • Павловский Антон Владимирович
  • Стародубцев Юрий Иванович
  • Худайназаров Юрий Кахрамонович
  • Юров Игорь Александрович
RU2307392C1
СПОСОБ ЗАЩИТЫ ВЫЧИСЛИТЕЛЬНЫХ СЕТЕЙ 2017
  • Максимов Роман Викторович
  • Орехов Дмитрий Николаевич
  • Проскуряков Игорь Сергеевич
  • Соколовский Сергей Петрович
RU2649789C1
СПОСОБ КОНТРОЛЯ ИНФОРМАЦИОННЫХ ПОТОКОВ В ЦИФРОВЫХ СЕТЯХ СВЯЗИ 2004
  • Андриенко А.А.
  • Куликов О.Е.
  • Костырев А.Л.
  • Максимов Р.В.
  • Павловский А.В.
  • Лебедев А.Ю.
  • Колбасова Г.С.
RU2267154C1
СПОСОБ ЗАЩИТЫ ИНФОРМАЦИОННЫХ СИСТЕМ 2023
  • Соколовский Сергей Петрович
  • Москвин Артём Александрович
  • Максимов Роман Викторович
  • Ворончихин Иван Сергеевич
  • Горбачёв Александр Александрович
  • Теленьга Александр Павлович
  • Спирин Андрей Валентинович
  • Егоров Виталий Анатольевич
RU2805368C1

Иллюстрации к изобретению RU 2 696 549 C1

Реферат патента 2019 года СПОСОБ ЗАЩИТЫ ВЫЧИСЛИТЕЛЬНЫХ СЕТЕЙ

Изобретение относится к вычислительной технике. Технический результат заключается в повышении эффективности системы защиты, в том числе достоверности обнаружения несанкционированного воздействия на вычислительную сеть, за счет существенного сокращения количества элементов ложной вычислительной сети и формирования единого множества последовательностей действий нарушителя. Способ защиты вычислительных сетей заключается в том, что передают пакет на единую ложную вычислительную сеть; после идентификации несанкционированного потока вычисляется значение коэффициентов совпадения Qсовп и в случае его превышения формируют служебный пакет для средства защиты вычислительной сети Mk о необходимости блокировки несанкционированного информационного потока и передают его на соответствующую вычислительную сеть, а в случае выполнения условия Qсовп≥ Qсовп. порг формируют ответный пакет сообщения, для чего в заголовок записывают ранее выделенные значения IP адресов отправителя и получателя абонентов вычислительной сети Mk, и передают его. 2 ил.

Формула изобретения RU 2 696 549 C1

Способ защиты вычислительных сетей, заключающийся в том, что предварительно запоминают N≥1 опорных идентификаторов санкционированных информационных потоков, содержащих адреса отправителей и получателей потоков сообщений, задают P≥1 элементов ложной вычислительной сети, задают множество эталонных наборов проявлений несанкционированных информационных потоков Sэт={Sj}, соответствующих определенным типам компьютерных атак Sj={Cr}, а также задают пороговое значение коэффициента совпадения Qсовп.порг последовательности появления несанкционированного информационного потока с соответствующим эталонным набором, принимают очередной пакет сообщений и определяют его легитимность, для чего выделяют из его заголовка идентификаторы, которые сравнивают с опорными идентификаторами, и идентифицируют несанкционированный информационный поток, для чего сравнивают идентификаторы появления Кi принимаемого несанкционированного потока со значениями Сr в эталонных наборах Sj появлений несанкционированных информационных потоков, и при несовпадении формируют новый Sj+1 эталонный набор и запоминают его во множестве эталонных наборов появлений несанкционированного информационного потока, а при совпадении запоминают номера эталонных наборов, которым принадлежит i-е появление несанкционированного информационного потока, и вычисляют значение коэффициента совпадения Qсовп последовательности появлений несанкционированного информационного потока с запомненными эталонными наборами, после чего сравнивают значения полученного коэффициента совпадения Qсовп с пороговым значением Qсовп порог, отличающийся тем, что дополнительно формируют множество вычислительных сетей M, составляющих распределенную информационную систему, а также задают IP адреса единой ложной вычислительной сети, затем после выделения идентификаторов из заголовка очередного принятого пакета сообщений и их сравнения с опорными идентификаторами на одной из вычислительных сетей Mk при несовпадении передают данный пакет на единую ложную вычислительную сеть, для чего записывают значения полей IP адресов получателя и отправителя в поле данных пакета, а в поле заголовка IP адрес единой ложной вычислительной сети, принимают текущий пакет в единой ложной вычислительной сети и выделяют из него IP адреса получателя и отправителя абонентов вычислительной сети Mk, после чего сравнивают данные адреса с адресами получателей и отправителей несанкционированных информационных потоков, ранее принятых на единой ложной вычислительной сети, и при их несовпадении используют очередной свободный элемент ложной вычислительной сети для дальнейшей обработки пакета сообщения, а при их совпадении передают этот пакет сообщения на соответствующий элемент единой ложной вычислительной сети, обрабатывающий этот несанкционированный информационный поток от вычислительной сети Mk, после идентификации несанкционированного потока вычисляется значение коэффициентов совпадения Qсовп последовательности проявления несанкционированного информационного потока, а при невозможности идентификации запоминают данные проявления как новый эталонный набор Sj+1 в единой базе данных эталонных наборов используемой для обработки несанкционированных информационных потоков от всех вычислительных сетей, затем после сравнения полученного значения коэффициентов совпадения Qсовп с пороговым значением Qсовп. порг, и в случае его превышения формируют служебный пакет для средства защиты вычислительной сети Mk о необходимости блокировки несанкционированного информационного потока и передают его на соответствующую вычислительную сеть, после чего освобождают элемент единой ложной вычислительной сети от обработки данного несанкционированного информационного потока и отмечают его как свободный для обработки очередных пакетов сообщений несанкционированных информационных потоков, а в случае выполнения условия Qсовп≥ Qсовп. порг формируют ответный пакет сообщения, для чего в заголовок записывают ранее выделенные значения IP адресов отправителя и получателя абонентов вычислительной сети Mk, и передают его.

Документы, цитированные в отчете о поиске Патент 2019 года RU2696549C1

СПОСОБ МОНИТОРИНГА БЕЗОПАСНОСТИ АВТОМАТИЗИРОВАННЫХ СИСТЕМ 2004
  • Андриенко А.А.
  • Иванов В.А.
  • Костырев А.Л.
  • Максимов Р.В.
  • Костин А.А.
RU2261472C1
СПОСОБ КОНТРОЛЯ ИНФОРМАЦИОННЫХ ПОТОКОВ В ЦИФРОВЫХ СЕТЯХ СВЯЗИ 2004
  • Андриенко А.А.
  • Куликов О.Е.
  • Костырев А.Л.
  • Максимов Р.В.
  • Павловский А.В.
  • Лебедев А.Ю.
  • Колбасова Г.С.
RU2267154C1
СПОСОБ (ВАРИАНТЫ) ЗАЩИТЫ ВЫЧИСЛИТЕЛЬНЫХ СЕТЕЙ 2006
  • Выговский Леонид Сергеевич
  • Заргаров Иван Артемович
  • Кожевников Дмитрий Анатольевич
  • Максимов Роман Викторович
  • Павловский Антон Владимирович
  • Стародубцев Юрий Иванович
  • Худайназаров Юрий Кахрамонович
  • Юров Игорь Александрович
RU2307392C1
СПОСОБ ЗАЩИТЫ ВЫЧИСЛИТЕЛЬНЫХ СЕТЕЙ 2012
  • Баленко Ольга Александровна
  • Бухарин Владимир Владимирович
  • Васинев Дмитрий Александрович
  • Кирьянов Александр Владимирович
  • Стародубцев Юрий Иванович
  • Стукалов Игорь Владиславович
RU2475836C1
Колосоуборка 1923
  • Беляков И.Д.
SU2009A1

RU 2 696 549 C1

Авторы

Бухарин Владимир Владимирович

Карайчев Сергей Сергеевич

Казачкин Антон Владимирович

Таранов Алексей Борисович

Ступаков Игорь Георгиевич

Даты

2019-08-02Публикация

2018-12-24Подача