Изобретение относится к электросвязи и может быть использовано в системах обнаружения атак с целью оперативного выявления и противодействия несанкционированным воздействиям в вычислительных сетях, в частности, в сети передачи данных типа «Internet», основанных на семействе коммуникационных протоколов TCP/IP (Transmission Control Protocol / Internet Protocol).
Известен «Способ и устройство для анонимного обмена данными с использованием сети с динамически изменяемым адресным пространством» по патенту США № US 20120117376 А1, класс H04L 29/06 (2006.01), опубл. 04.05.2012. Известный способ включает следующую последовательность действий. На сетевых устройствах вычислительной сети устанавливают специальное программное обеспечение, принимают входящие пакеты сообщений, считывают значения служебных полей протокола, затем формируют свой собственный специальный протокол. Принцип работы сформированного специального протокола основан на изменении сетевого адреса и полей протокола через заданные интервалы времени. После формирования специального протокола, параметры доставки пакетов сообщений, например, такие как IP-адрес, сопоставляют с конечными узлами в сети. Конечные узлы представляют собой сетевые устройства получатель/отправитель пакетов, расположенные в сети. Узлы, участвующие в процессе, имеют средства для синхронизации изменений изменяемых параметров, доставки их по сети и способны полностью обмениваться данными друг с другом. Периодическое изменение параметров доставки с течением времени в итоге приводит к запутыванию информации об активных сетевых узлах или сетевых службах вычислительной сети. Таким образом, злоумышленник, сканирующий вычислительную сеть, сталкивается с множеством динамических параметров, которые понятны только участвующим в информационном обмене сетевым узлам. Конфигурирование специального программного обеспечения может быть реализовано одним из трех типов управления: по времени (синхронная), по факту сканирования, постоянная на всех без исключения пакетах/кадрах.
Недостатком данного способа является относительно низкая результативность защиты вычислительных сетей. Низкая результативность защиты обусловлена тем, что в аналоге скорость информационного обмена между отправителем и получателем пакетов сообщений снижается ввиду установленного дополнительного специального программного обеспечения, расходующего ресурсы сети на преобразование исходящих пакетов в свой собственный протокол, что в свою очередь приведет к перегрузке вычислительной сети.
Известен способ защиты вычислительных сетей, описанный в статье Кравцов К.Н. «Передача данных в сетях с динамической рандомизацией адресного пространства» // Нижегородский государственный технический университет им. Р.Е. Алексеева, Нижний Новгород, 2016, на стр. 273-277. Известный способ заключается в следующем. Значение реального IP-адреса защищаемого терминала не является публично доступной информацией. Чтобы получить доступ к серверу, клиент должен пройти авторизацию на предмет того, является ли он доверенным для этого сервера. Если авторизация пройдена успешно, то клиенту сообщают пул IP-адресов серверов и клиентов в вычислительной сети, а также ключ генерации псевдослучайной последовательности адресов для осуществления изменяемой адресации (идентификатор сессии). Так как эти данные сообщают клиенту некоторым сервером-менеджером только на этапе установки соединения, то возможные перерывы в работе сервера-менеджера, которые не влияют существенным образом на работу всей сети в целом. Также на этом этапе клиенту задают IP-адрес для инициализации защищаемого ресурса. Шлюзы подсетей доступа к серверу являются основными структурными элементами предлагаемой архитектуры, которые поддерживают постоянные сеансы обмена сообщениями. Такая процедура авторизации и установки расширенных защищенных соединений сервера и клиента может быть выполнена на этапе первоначального конфигурирования вычислительной сети или ее элементов. Под расширенными защищенными соединениями понимают сессии передачи данных между терминалом клиента и сервером, которые осуществляются при помощи динамической смены адресов отправителя и получателя пакетов сообщений. После установки соединения клиенты обмениваются сообщениями с сервером по IP-адресу, полученному при его инициализации в сети. При этом адрес назначения каждого следующего отправляемого пакета сообщений определяется терминалом клиента динамически из полученного пула IP-адресов путем расчета специальной хэш-функции, которая отображает метку времени передаваемого IP-пакета и идентификатора текущей расширенной защищенной сессии на номер IP-адреса во множестве IP-адресов вычислительной сети. Таким образом, осуществляется изменение реального IP-адреса получателя пакетов сообщений, отправляемых от клиента к серверу, с фиксированного IP-адреса, полученного при инициализации в сети, на виртуальный, рассчитанный по псевдослучайному закону.
Недостатком данного способа является относительно высокая ресурсоемкость способа защиты, обусловленная тем, что каждый клиент сети отправляет пакет сообщений не одному определенному IP-адресу, а большому количеству различных IP-адресов в защищаемой сети, что при наличии большого количества сетевых узлов спровоцирует перегрузку канала связи.
Наиболее близким по своей технической сущности к заявленному, является способ защиты вычислительных сетей, описанный в статье Antonatos S., Akritidis P., Markatos E., Anagnostakis K. Defending against Hitlist Worms using Network Address Space Randomization 2005 ACM Workshop on Rapid Malcode, Fairfax, VA, USA, 2005, на стр. 30-40. Известный способ включает следующую последовательность действий. Подключают сетевые устройства к вычислительной сети. DHCP-сервером задают для сетевых устройств вычислительной сети, от которых поступили запросы, параметры синхронизации установленного часового пояса, времени продолжительности аренды tap и IP-адреса. После этого устанавливают сетевые соединения между сетевыми устройствами сети. По окончании времени продолжительности аренды IP-адресов tap формируют на DHCP-сервере в случайном порядке новые IP-адреса в текущей подсети и другие сетевые параметры для каждого из сетевых устройств вычислительной сети. Для сетевых устройств, между которыми не установлено критическое соединение задают новые IP-адреса, на которые они переходят по истечении времени аренды tap, а для сетевых устройств, между которыми установлено критическое соединение продлевают аренду IP-адресов на такое же время tap, до конца активности соединения, после чего сетевые устройства переходят на новые IP-адреса в текущей подсети. Очередной переход на новые IP-адреса осуществляется по истечении времени tap.
Известный способ-прототип обеспечивает более высокую результативность защиты вычислительных сетей от несанкционированных воздействий по сравнению с аналогами за счет постоянного изменения IP-адресов вычислительной сети через равные, предварительно заданные, интервалы времени.
Недостатком способа-прототипа является его относительно узкая область применения, относительно низкая результативность и относительно высокая ресурсоемкость защиты. Узкая область применения обусловлена тем, что происходит разрыв критически важных активных соединений между сетевыми устройствами, а также тем, что изменение IP-адресов узлов защищаемой вычислительной сети происходит в рамках одной подсети, что накладывает ограничение на используемый диапазон перестройки параметров защищаемой вычислительной сети, состоящей из относительно большого количества IP-адресов узлов. Это может привести к возможности вычисления злоумышленником алгоритма перестройки IP-адресов узлов защищаемой вычислительной сети и принятию им мер по обходу системы защиты. Относительно низкая результативность связана с изменением IP-адресов узлов защищаемой вычислительной сети через фиксированный промежуток времени tap вне зависимости от условий функционирования и действий злоумышленника. Это может привести к несвоевременному переводу вычислительной сети в заранее определенную конфигурацию, влекущему за собой пропуск несанкционированного воздействия или ложное срабатывание системы защиты. Относительно высокая ресурсоемкость способа-прототипа связана с возможностью его ложного срабатывания, что может привести к необоснованному увеличению вычислительного ресурса на изменение конфигурации параметров вычислительной сети.
Целью заявленного технического решения является разработка способа защиты вычислительных сетей, обеспечивающего расширение области применения, повышение результативности защиты и снижение ресурсоемкости зашиты. Расширение области применения обеспечивается за счет того, что изменение IP-адресов узлов защищаемой вычислительной сети производят в рамках задаваемого диапазона подсетей без разрыва критически важных активных соединений. Это значительно усложняет процедуру вычисления злоумышленником алгоритма перестройки IP-адресов узлов защищаемой вычислительной сети и реализацию им мер по обходу системы защиты. Повышение результативности защиты обеспечивается за счет изменения IP-адресов узлов защищаемой вычислительной сети через произвольные интервалы времени, изменяемые адаптивно в зависимости от условий функционирования и действий злоумышленника. Снижение ресурсоемкости защиты обеспечивается за счет отсутствия необоснованных изменений структурно-функциональных характеристик компонентов вычислительных сетей, вызванных ложными срабатываниями.
Поставленная цель достигается тем, что в известном способе защиты вычислительных сетей предварительно задают IP={IP1, IP2 … IPn} множество IP-адресов сетевых устройств вычислительной сети, являющихся DHCP-клиентами DHCP-сервера, где n - максимальное допустимое значение количества IP-адресов сетевых устройств вычислительной сети. Так же предварительно задают С={CIP1, CIP2 … CIPm} множество соединений между сетевыми устройствами вычислительной сети, где CIPm - идентификатор соединения между сетевыми устройствами вычислительной сети, который содержит в себе IP-адрес отправителя с, и получателя b, тип протокола взаимодействия, порты взаимодействия, где m - максимальное допустимое количество соединений между сетевыми устройствами вычислительной сети. Далее задают CIPcm≥1 множество идентификаторов критических соединений между абонентами вычислительной сети. После этого предварительно задают СС=[CIPc1, CIPc2 … CIPcm] массив памяти для хранения идентификаторов критически важных соединений между сетевыми устройствами вычислительной сети, которые не подлежат разрыву. Затем предварительно задают множество MAC-адресов сетевых устройств вычислительной сети, где - максимальное количество сетевых устройств в вычислительной сети. Далее задают массив памяти NA для хранения матрицы соответствия n-му IP-адресу сетевого устройства из множества IP-адресов МАС-адреса из массива памяти MAC. После этого подключают все сетевые устройства к вычислительной сети и устанавливают на DHCP-сервере соответствие MAC- и IP-адресов. Запоминают соответствие MAC- и IP-адресов в массиве памяти NA. Затем формируют DHCP-сервером ответные сообщения, содержащие параметры синхронизации установленного часового пояса и времени, назначенные IP-адреса. После этого направляют с DHCP-сервера сформированные ответные сообщения сетевым устройствам вычислительной сети. Далее принимают каждым сетевым устройством вычислительной сети сообщение от DHCP-сервера и направляют от сетевых устройств вычислительной сети ответные сообщения DHCP-серверу, подтверждающие его выбор. После этого принимают DHCP-сервером сообщения от сетевых устройств вычислительной сети, подтверждающие их выбор. Затем задают сетевым устройствам вычислительной сети параметры синхронизации установленного часового пояса и времени, назначенные IP-адреса. После этого устанавливают соединения между сетевыми устройствами вычислительной сети и назначают установленным соединениям между сетевыми устройствами вычислительной сети идентификаторы CIPm. Далее принимают из канала связи пакет сообщения. Следующим шагом формируют массив памяти NA для хранения матрицы соответствия MAC- и IP-адресов сетевых устройств вычислительной сети. Формируют DHCP-сервером ответные сообщения, содержащие параметры синхронизации установленного часового пояса и времени, новые IP-адреса. После этого направляют с DHCP-сервера сетевым устройствам вычислительной сети, ответные сообщения, содержащие параметры синхронизации установленного часового пояса и времени, новые IP-адреса. Далее принимают каждым сетевым устройством вычислительной сети сообщения, содержащие новые IP-адреса и задают каждому сетевому устройству вычислительной сети эти IP-адреса. В предварительно заданные исходные данные дополнительно задают подмножества d в множестве IP-адресов сетевых устройств вычислительной сети IPd={IPd1, IPd2 … IPdn}, где d - номер вычислительной сети DHCP-сервера, d=1, 2 … z, где z - максимальное количество номеров вычислительной сети. Также для каждого подмножества d предварительно задают IP-адреса DHCP-серверов IPddhcp, где IPddhcp - IP-адрес DHCP-сервера для подмножества d, IPddhcp ∈ IPd, массив памяти D=[1, 2, …, z] для хранения номера вычислительной сети DHCP-сервера, а также tdmax - максимальное значение времени аренды всех IP-адресов вычислительной сети с номером d. Далее в каждом идентификаторе соединения CIPm между сетевыми устройствами вычислительной сети дополнительно задают маркер активности соединения Am. Также предварительно задают массив памяти Ci=[CIP1, CIP2 … CIPm] для хранения идентификаторов CIPm и множество идентификаторов санкционированных информационных потоков TS≥1. Далее дополнительно задают FIPd={FIPd1, FIPd2 … FIPdn} - множество IP-адресов ложных абонентов вычислительной сети d, где n - максимальное допустимое количество IP-адресов сетевых устройств вычислительной сети. Следующим шагом, после подключения сетевых устройств к вычислительной сети, направляют с сетевых устройств вычислительной сети сообщения на DHCP-сервер с IP-адресом IPddhcp. Принимают DHCP-сервером с IP-адресом Iddhcp сообщения от сетевых устройств вычислительной сети. Затем устанавливают на DHCP-сервере соответствие MAC- и IP-адресов. Далее запоминают это соответствие в массиве памяти NA. Следующим шагом формируют DHCP-сервером ответные сообщения, содержащие параметры синхронизации установленного часового пояса и времени, и назначенных IP-адресов. Далее формируют DHCP-сервером ответные сообщения, содержащие значение времени продолжительности аренды tdmax, номер d сети DHCP-сервера и IP-адрес IPddhcp выбранного DHCP-сервера, для обратившихся с запросом сетевых устройств вычислительной сети. Далее после направления с DHCP-сервера сформированных ответных сообщений, их приема каждым сетевым устройством вычислительной сети и направления ответных сообщений DHCP-серверу, подтверждающих их выбор, задают сетевым устройствам вычислительной сети время продолжительности аренды tdmax, номер d сети DHCP-сервера и IP-адрес IPddhcp выбранного DHCP-сервера. После этого удаляют из массива памяти NA те соответствия сетевых устройств вычислительной сети, от которых не получили сообщения, подтверждающие их выбор. После установления соединения между сетевыми устройствами вычислительной сети и назначения установленным соединениям идентификаторов CIPm, запоминают идентификаторы CIPm в массиве памяти Ci. Далее, после приема из канала связи пакета сообщения, выделяют из заголовка принятого пакета сообщения идентификатор информационного потока. Потом сравнивают его с идентификаторами санкционированных информационных потоков TS. При совпадении выделенного идентификатора информационного потока с идентификаторами санкционированных информационных потоков TS, передают пакет сообщений получателю и принимают из канала связи следующий пакет сообщения. При несовпадении выделенного идентификатора с идентификаторами санкционированных информационных потоков TS, сравнивают IP-адрес получателя в принятом пакете сообщений с предварительно заданными ложными IP-адресами абонентов вычислительной сети FIP. Далее при несовпадении IP-адреса получателя в принятом пакете сообщений с предварительно заданными ложными IP-адресами абонентов FIP, игнорируют пакет сообщений, а при совпадении IP-адреса получателя в принятом пакете сообщений с предварительно заданными ложными IP-адресами абонентов FIP, сравнивают IP-адрес отправителя пакетов сообщений с каждым IP-адресом сетевого устройства вычислительной сети из множества IPd. В случае их совпадения блокируют IP-адрес отправителя пакетов сообщений, для чего исключают MAC-адрес сетевого устройства из массива NA DHCP-сервера. В случае их несовпадения, считывают DHCP-сервером из массива D следующий номер вычислительной сети, для чего увеличивают номер сети d на единицу (d=d+1). Затем, после того как будет вновь сформирован массив памяти NA и ответные сообщения DHCP-сервера, содержащие параметры синхронизации установленного часового пояса и времени новые IP-адреса. Затем формируют DHCP-сервером ответные сообщения, содержащие значение времени продолжительности аренды t(d+1)max, следующий номер вычислительной сети и IP-адрес выбранного DHCP-сервера IP(d+1)dhcp для каждого из сетевых устройств вычислительной сети. Далее, после направления с DHCP-сервера сетевым устройствам вычислительной сети ответных сообщений содержащих параметры синхронизации установленного часового пояса и времени, новых IP-адресов, также направляют с DHCP-сервера сетевым устройствам вычислительной сети, ответные сообщения, содержащие значение времени продолжительности аренды td+1max, номер вычислительной сети и IP-адрес выбранного DHCP-сервера IPd+1dhcp для каждого из сетевых устройств вычислительной сети. Далее, после приема каждым сетевым устройством вычислительной сети сообщений, содержащих параметры синхронизации установленного часового пояса и времени, новые IP-адреса, принимают каждым сетевым устройством вычислительной сети новые значения времени продолжительности аренды td+1max, номер вычислительной сети и IP-адрес выбранного DHCP-сервера IPd+1dhcp. После этого сравнивают, принадлежит ли идентификатор соединения между сетевыми устройствами вычислительной сети CIPm множеству идентификаторов критических соединений из массива СС. В случае, если идентификатор соединения CIPm не принадлежит множеству идентификаторов критических соединений СС, то направляют с DHCP-сервера сообщение сетевым устройствам вычислительной сети о прекращении аренды текущего IP-адреса, для чего значение tdmax устанавливают равным нулю, и после задания каждому сетевому устройству вычислительной сети новых IP-адресов, задают каждому сетевому устройству вычислительной сети новые значение времени продолжительности аренды td+1max, номер вычислительной сети и IP-адрес IPd+1dhcp выбранного DHCP-сервера для каждого из сетевых устройств вычислительной сети. В ином случае, то есть, когда соединение является критическим, считывают маркеры активности соединений Am идентификаторов CIPm из множества СС, после этого сравнивают, является ли критическое соединение активным. В случае, если критическое соединение не активно, то есть Am=0, то задают для каждого сетевого устройства вычислительной сети новые IP-адреса, значение времени продолжительности аренды IP-адресов td+1max, номер вычислительной сети и IP-адрес IPd+1dhcp выбранного DHCP-сервера для каждого из сетевых устройств вычислительной сети. Иначе, вновь считывают маркеры активности соединений Am идентификаторов CIPm из множества СС.
Очередной номер вычислительной сети DHCP-сервера d вычисляют как d=d+1.
Очередное значение времени продолжительности аренды td+1max выбирают в случайном порядке в пределах от 700 до 4000 секунд.
Благодаря новой совокупности существенных признаков в заявленном способе обеспечивается расширение области применения за счет изменения IP-адресов узлов защищаемой вычислительной сети в рамках задаваемого диапазона подсетей, так же повышение результативности защиты за счет изменения IP-адресов узлов защищаемой вычислительной сети через произвольные интервалы времени, изменяемые адаптивно в зависимости от условий функционирования и действий злоумышленника, а так же понижение ресурсоемкости защиты за счет отсутствия необоснованных изменений структурно-функциональных характеристик компонентов вычислительных сетей, вызванных ложными срабатываниями.
Заявленные объекты изобретения поясняются чертежами, на которых показаны:
фиг. 1 - Схема защищаемой вычислительной сети с использованием динамического DHCP-сервера;
фиг. 2а - Блок-схема последовательности действий, реализующих заявленный способ защиты вычислительных сетей;
фиг. 2б - Блок-схема последовательности действий, реализующих заявленный способ защиты вычислительных сетей;
фиг. 3 - Схема последовательности распределения IP-адресов DHCP-сервера и клиентов;
фиг. 4 - Структура идентификаторов соединения между сетевыми устройствами вычислительной сети;
фиг. 5 - Структура соответствия MAC- и IP-адресов DHCP-сервера;
фиг. 6 - Схема сканирования злоумышленником исследуемой вычислительной сети с использованием утилиты NMAP;
фиг. 7 - Время сканирования вычислительной сети в рамках первого этапа эксперимента;
фиг. 8 - Время сканирования вычислительной сети в рамках второго этапа эксперимента;
фиг. 9 - Время сканирования вычислительной сети в рамках третьего этапа эксперимента.
Реализация заявленного способа объясняется следующим образом. Известно, что современные технологии сетевой безопасности концентрируются на защите вычислительных сетей, основанной на надежной защите периметра. Так, межсетевые экраны, прокси-серверы, шлюзы прикладного уровня и даже системы обнаружения вторжений, описанные, например, в книге Андрончик А.Н., Богданов В.В., Домуховский Н.А., Коллеров А.С., Синадский Н.И., Хорьков Д.А., Щербаков М.Ю. Защита информации в компьютерных сетях. Практический курс: учебное пособие / А.Н. Андрончик, В.В. Богданов, Н.А. Домуховский и др.; под редакцией Н.И. Синадского. - Екатеринбург: УГТУ-УПИ, 2008. - 248 с. предназначены для предотвращения, запрета и/или обнаружения доступа злоумышленника к защищаемым информационным ресурсам. Однако применение этих средств защиты для решения задач маскирования структуры вычислительных сетей в целях упреждения деструктивных действий злоумышленника не позволяет обеспечить требуемый уровень защищенности вычислительных сетей. Это обусловлено тем, что структура большинства современных вычислительных сетей является неизменной на протяжении всего времени их функционирования, что обеспечивает достоверность полученной о них злоумышленником информации по результатам ведения сетевой разведки в течение длительного интервала времени и предоставляет злоумышленнику возможность планирования (выбора времени и инструментария) для начала компьютерной атаки без угрозы скомпрометировать свои действия. Свойства детерминированности и статичности вычислительных сетей позволяют злоумышленнику, в удобное для него время, неоднократно выполнять обнаружение и анализ уязвимостей, с тщательным последующим их тестированием на проникновение для конкретной цели, пока не будет достигнут конечный результат. Свойство однородности вычислительных сетей наделяет злоумышленника преимуществом при использовании вычислительного ресурса для осуществления компьютерной атаки. Это обусловлено тем, что однородность сетевых конфигураций, их системного и программного обеспечения, позволяет злоумышленникам легко и с небольшими вычислительными затратами проводить крупномасштабную атаку на десятки, сотни и тысячи узлов после успешного проведения мелкомасштабной атаки лишь на один из узлов этой однородной вычислительной сети. В свою очередь службы безопасности должны своевременно обнаруживать и устранять все потенциальные уязвимости, а также нейтрализовывать или снижать эффективность средств сетевой разведки и реализации компьютерных атак.
Таким образом, возникает противоречие между результативностью защиты вычислительных сетей и возможностями нарушителей по вскрытию структуры вычислительных сетей, обусловленными ее статичностью, однородностью и детерминированностью. На устранение указанного противоречия направлен заявленный способ.
Одной из перспективных технологий защиты вычислительных сетей, позволяющей скрывать истинные структурно-функциональные характеристики вычислительных сетей или их элементов и формировать о них ложное представление у злоумышленника является технология Moving Target Defense (MTD), описанная, например, в статье Carvalho М., Ford R. Moving target defense for computer networks, IEEE Security & Privacy, vol. 12, no. 2, 2014, на стр. 73-76. Технология MTD направлена на динамическое изменение компонентов вычислительных сетей в целях ограничения эффективности ведения сетевой разведки и реализации последующих деструктивных воздействий злоумышленником. Одно из направлений технологии MTD подразумевает динамическое изменение параметров сети, таких как используемые протоколы (включая протоколы маршрутизации), IP-адреса и сетевые порты, MAC-адреса, алгоритмы шифрования, используемые для идентификации узла источника и пункта назначения, а также маршруты передачи трафика (информационные направления). В основу заявленного способа будут заложены принципы, реализующие направления динамического изменения параметров вычислительной сети, описанные, например, в статье Okhravi K, Hobson Т., Bigelow D., Streilein W. Finding focus in the blur of moving-target techniques. Security & Privacy, IEEE, 12(2), 2014, на стр. 2-12.
Заявленный способ реализуют следующим образом. В общем случае (см. фиг. 1) вычислительная сеть представляет собой совокупность корреспондентов 100, DHCP-сервера 101, являющихся источниками и получателями сетевого трафика, анализатора пакетов (102) для составления отчетов, периферийного и коммуникационного оборудования 103, 104, ретранслирующего сетевой трафик корреспондентов, объединенного физическими линиями (каналами) связи, соединяющих узлов вычислительной сети в единую инфраструктуру, в том числе с использованием сети связи общего пользования 105.
Для защиты вычислительной сети и введения в заблуждение злоумышленника 106 относительно структуры вычислительной сети, осуществляют периодическую смену IP-адресов ее сетевых устройств.
На фиг. 2а, 2б представлена блок-схема последовательности действий, реализующих заявленный способ защиты вычислительных сетей, в которой приняты следующие обозначения:
n - максимальное допустимое значение количества IP-адресов сетевых устройств вычислительной сети;
{IPd} - множество всех IP-адресов сетевых устройств вычислительной сети, являющихся клиентами DHCP-сервера с IP-адресом IPddhcp, где d - номер вычислительной сети DHCP-сервера d = 1, 2 … z, a z - максимальное количество номеров вычислительной сети;
[D] - массив памяти для хранения номера вычислительной сети DHCP-сервера;
tdmax - максимальное значение времени аренды всех IP-адресов вычислительной сети с номером d;
{С} - множество соединений между сетевыми устройствами вычислительной сети;
CIPm - идентификатор соединения между сетевыми устройствами вычислительной сети;
m - максимально допустимое количество соединений между сетевыми устройствами вычислительной сети;
Am - маркер активности соединения идентификатора соединения между сетевыми устройствами вычислительной сети;
[Ci] - массив памяти для хранения идентификаторов CIPm;
{TS} - множество идентификаторов санкционированных информационных потоков;
{CIPcm} - множество идентификаторов критических соединений между абонентами вычислительной сети;
[СС] - массив памяти для хранения идентификаторов критически важных соединений между сетевыми устройствами вычислительной сети, которые не подлежат разрыву;
{MAC} - множество МАС-адресов сетевых устройств вычислительной сети;
- максимальное количество сетевых устройств в вычислительной сети;
[NA] - массив памяти для хранения матрицы соответствия n-му IP-адресу сетевого устройства из множества IP-адресов МАС-адреса из массива памяти MAC;
{FIPd} - множество IP-адресов ложных абонентов вычислительной сети d;
Для снижения возможностей злоумышленника по вскрытию истинных структурно-функциональных характеристик компонентов вычислительной сети, в рамках нескольких подсетей и расширения области применения способа защиты, в предварительно заданные исходные данные дополнительно задают (см. блок 1 на фиг. 2а) подмножества d во множестве IP-адресов сетевых устройств вычислительной сети IPd={IPd1, IPd2 … IPdn}, где d - номер вычислительной сети DHCP-сервера, d=1, 2 … z, где z -максимальное количество номеров вычислительной сети.
После этого, для повышения результативности защиты, в предварительно заданные исходные данные, для каждого подмножества d, в целях исключения возможности для злоумышленника реализовать компьютерную атаку на DHCP-сервер, описанную, например, в книге Бирюков А.А. Информационная безопасность: защита и нападение. - М.: ДМК Пресс, 2016, на стр. 51-53, дополнительно задают (см. блок 1 на фиг. 2а) IP-адреса доверенных DHCP-серверов IPddhcp, где IPddhcp - IP-адрес DHCP-сервера для подмножества d, IPddhcp ∈ IPd, чем обеспечивают невозможность использования ложного DHCP-сервера злоумышленником. Также задают (см. блок 1 на фиг. 2а) массив памяти D=[1, 2, … z] для хранения номера вычислительной сети DHCP-сервера.
Предварительно задают (см. блок 1 на фиг. 2а) tdmax - максимальное значение времени аренды всех IP-адресов вычислительной сети с номером d. Первоначально, для предоставления максимального (бесконечного) времени аренды IP-адресов сетевым устройствам вычислительной сети значение параметра tdmax устанавливают равным 0׃ƒƒƒƒƒƒƒ. Параметр указывается 32-битовым беззнаковым словом в секундах, позволяющим задать интервал от 0 приблизительно до 100 лет, что достаточно для работы DHCP-сервера и описано, например, в технических спецификациях (RFC, Request for Comments) сети Интернет (см., например, https://tools.ietf.org/html/rfc2131).
Далее, для идентификации санкционированных и нелегитимных информационных потоков между абонентами вычислительной сети, предварительно задают (см. блок 1 на фиг. 2а) С={CIP1, CIP2 … CIPm} - множество соединений между сетевыми устройствами вычислительной сети, где CIPm - идентификатор соединения между сетевыми устройствами вычислительной сети, который содержит в себе IP-адрес отправителя с, и получателя b, тип протокола взаимодействия, порты взаимодействия, где m - максимальное допустимое количество соединений между сетевыми устройствами вычислительной сети. В заявленном способе защиты вычислительных сетей максимальное допустимое количество соединений между сетевыми устройствами вычислительной сети m вычисляют по формуле . Необходимость установления максимально допустимого количества соединений между сетевыми устройствами вычислительной сети m, обусловлена тем, что вычислительная сеть за единицу времени способна обработать ограниченное количество пакетов сообщений без переполнения буфера обмена или же снижения качества обслуживания заявок. Увеличение интенсивности поступающих несанкционированных информационных потоков с одного IP-адреса или множества IP-адресов, может привести к реализации атаки типа «отказ в обслуживании» (Denial of Service, DoS) или же распределенной атаки типа «отказ в обслуживании» (Distributed Denial of Service, DDoS) соответственно. Данные типы атак описаны, например, в книге Олифер В., Олифер Н. Компьютерные Сети. Принципы, технологии, протоколы: Учебник для вузов. 5-е изд. - СПб.: Питер, 2016. - 992 с.: ил.
Далее в каждом идентификаторе соединения CIPm между сетевыми устройствами вычислительной сети в предварительно заданные исходные данные дополнительно задают (см. блок 1 на фиг. 2а) маркер активности соединения Am. Использование маркера активности соединения Am обусловлено необходимостью проверки активности установленных между сетевыми устройствами вычислительной сети критически важных соединений, прерывание которых недопустимо. Под критически важными соединениями в заявленном способе рассматривают соединения, использующие протоколы FTP, HTTPS. РОР3, SMTP, VoIP, Н.323.
После этого в предварительно заданные исходные данные дополнительно задают (см. блок 1 на фиг. 2а) массив памяти Ci=[CIP1, CIP2 … CIPm] для хранения идентификаторов CIPm. Затем предварительно задают (см. блок 1 на фиг. 2а) CIPcm≥1 множество идентификаторов критических соединений между абонентами вычислительной сети. Применение совокупности значений маркера активности соединения Am и идентификатора критических соединений CIPm используется для поддержания активности критических соединений.
Также задают (см. блок 1 на фиг. 2а) СС=[CIPc1, CIPc2 … CIPcm] массив памяти для хранения идентификаторов критически важных соединений между сетевыми устройствами вычислительной сети, которые не подлежат разрыву.
Для возможности проверки на легитимность адресов отправителя и получателя у корреспондирующих абонентов в предварительно заданные исходные данные задают (см. блок 1 на фиг. 2а) множество идентификаторов санкционированных информационных потоков TS≥1, в качестве которых принимают идентификационные признаки соединений, содержащие адреса отправителя и получателя пакетов сообщений, и запоминают их.
Далее, для формирования вычислительной сети предварительно задают (см. блок 1 на фиг. 2а) множество MAC-адресов сетевых устройств вычислительной сети, где - максимальное количество сетевых устройств в вычислительной сети.
После этого для корректной работы DHCP-сервера задают (см. блок 1 на фиг. 2а) массив памяти NA для хранения матрицы соответствия n-му IP-адресу сетевого устройства из множества IP-адресов MAC-адреса из массива памяти MAC. Это обусловлено порядком выдачи DHCP-сервером IP-адреса каждому сетевому устройству.
Также, для формирования критерия отбора истинных IP-адресов, в предварительно заданные исходные данные дополнительно задают (см. блок 1 на фиг. 2а) FIPd={FIPd1, FIPd2 … FIPdn} - множество IP-адресов ложных абонентов вычислительной сети d, где n - максимальное допустимое количество IP-адресов сетевых устройств вычислительной сети. Первый столбец базы адресов (см. табл. 2 на фиг. 4) FIPd содержит ложный IP-адрес и номер сети. Во втором столбце представлены соответствующие значения маски сети.
После этого подключают (см. блок 2 на фиг. 2а) сетевые устройства к вычислительной сети и после их инициализации направляют (см. блок 3 на фиг. 2а) с сетевых устройств вычислительной сети сообщения на DHCP-сервер с IP-адресом IPddhcp для получения параметров синхронизации установленного часового пояса, IP-адресов и времени продолжительности их аренды tap. Схема протокольного обмена сообщениями между сетевыми устройствами (клиентами) 107 и DHCP-сервером 108 показана на фиг. 3 и описана, например, в технических спецификациях (RFC, Request for Comments) сети Интернет (см., например, https://tools.ietf.org/html/rfc2131).
После этого принимают (см. блок 4 на фиг. 2а) DHCP-сервером с IP-адресом IPddhcp сообщения от сетевых устройств вычислительной сети. Затем, после установления на DHCP-сервере соответствия MAC- и IP-адресов (см. блок 5 на фиг. 2а) запоминают это соответствие (см. блок 6 на фиг. 2а) в массиве памяти NA. Массив памяти NA для хранения матрицы соответствия n-му IP-адресу сетевого устройства из множества IP-адресов DHCP-сервера МАС-адреса из массива памяти MAC представлен в виде таблице 5 (см. фиг. 5), где первая колонка содержит IP-адрес сетевого устройства, во второй содержится соответствующий ему MAC-адрес, а третья колонка содержит tdmax - значение времени аренды IP-адреса.
Далее формируют (см. блок 7 на фиг. 2а) DHCP-сервером ответные сообщения, содержащие параметры синхронизации установленного часового пояса и времени, а также назначенные IP-адреса. Необходимость синхронизации установленного часового пояса и времени возникает в случае, когда время сервера и сетевых устройств вычислительной сети различается, при этом сервер может счесть аренду завершившейся раньше, чем это сделает сетевое устройство. Синхронизация осуществляется путем установки общего часового пояса и времени DHCP-сервера и сетевых устройств вычислительной сети.
Затем формируют (см. блок 8 на фиг. 2а) DHCP-сервером ответные сообщения, содержащие значение времени продолжительности аренды tdmax, номер d сети DHCP-сервера и IP-адрес IPddhcp выбранного DHCP-сервера, для обратившихся с запросом сетевых устройств вычислительной сети.
После этого направляют (см. блок 9 на фиг. 2а) с DHCP-сервера сформированные ответные сообщения обратившимся сетевым устройствам вычислительной сети, содержащие параметры синхронизации установленного часового пояса и времени, а также назначенные им IP-адреса, время их аренды tdmax, номер d сети DHCP-сервера и IP-адрес IPddhcp выбранного DHCP-сервера.
Принимают (см. блок 10 на фиг. 2а) каждым сетевым устройством вычислительной сети сообщения с DHCP-сервера и направляют (см. блок 11 на фиг. 2а) ответные сообщения DHCP-серверу, подтверждающие их выбор этого DHCP-сервера.
После этого принимают (см. блок 12 на фиг. 2а) DHCP-сервером сообщения от сетевых устройств вычислительной сети, подтверждающие их выбор и задают (см. блок 13 на фиг. 2а) сетевым устройствам вычислительной сети параметры синхронизации времени, и IP-адреса, а также задают (см. блок 14 на фиг. 2а) время продолжительности аренды tdmax выданных IP-адресов, номер d сети DHCP-сервера и IP-адрес IPddhcp выбранного DHCP-сервера.
Затем удаляют (см. блок 15 на фиг. 2а) из массива памяти NA те соответствия сетевых устройств вычислительной сети, от которых не получили сообщения, подтверждающие их выбор, тем самым исключают выдачу IP-адресов неактивным сетевым устройствам.
После этого устанавливают соединения между сетевыми устройствами вычислительной сети (см. блок 16 на фиг. 2а) и назначают (см. блок 17 на фиг. 2а) установленным соединениям между сетевыми устройствами вычислительной сети идентификаторы CIPm.
Далее установленные идентификаторы CIPm запоминают (см. блок 18 на фиг. 2а) в массиве памяти Ci.
Принимают (см. блок 19 на фиг. 2а) из канала связи пакет сообщения от отправителя 111 получателю 112 (см. фиг. 4), далее анализатором пакетов 113 (см. фиг. 4) выделяют (см. блок 20 на фиг. 2а) из заголовка принятого пакета сообщения идентификатор информационного потока CIPm и сравнивают (см. блок 21 на фиг. 2а) его с идентификаторами санкционированных информационных потоков TS (см. табл. 1 на фиг. 4) для определения возможности дальнейшей передачи пакета адресату. В таблице 1 в столбце слева представлены санкционированные протоколы взаимодействия, в столбце справа представлены порты взаимодействия санкционированных протоколов. В таблице 2, 4 представлены IP-адреса отправителя и получателя, текущий протокол взаимодействия, порт протокола взаимодействия, маркер активности соединения.
При совпадении выделенного идентификатора информационного потока CIPm (см. табл. 2 на фиг. 4) с идентификатором санкционированных информационных потоков TS (см. табл. 1 на фиг. 4), передают пакет сообщений получателю (см. блок 22 на фиг. 2а) и принимают (см. блок 19 на фиг. 2а) из канала связи следующий пакет сообщения.
Однако, в случае несовпадения выделенного идентификатора CIPm (см. табл. 4 на фиг. 4) с идентификаторами санкционированных информационных потоков TS, сравнивают (см. блок 23 на фиг. 2а) IP-адрес получателя в принятом пакете сообщений с предварительно заданными ложными IP-адресами абонентов вычислительной сети FIP (см. табл. 2 на фиг. 4). В таблице 3 представлены IP-адреса и соответствующая маска сети ложных абонентов.
При несовпадении IP-адреса получателя в принятом пакете сообщений с предварительно заданными ложными IP-адресами абонентов FIP, игнорируют (см. блок 24 на фиг. 2а) пакет сообщений, а при совпадении IP-адреса получателя в принятом пакете сообщений с предварительно заданными ложными IP-адресами абонентов FTP определяют, является ли отправитель пакета сообщений санкционированным абонентом или злоумышленником 114 (см. фиг. 4). Для этого сравнивают (см. блок 25 на фиг. 2а) IP-адрес отправителя пакетов сообщений с каждым IP-адресом сетевого устройства вычислительной сети из множества IPd, и в случае их совпадения блокируют IP-адрес отправителя пакетов сообщений, считая его потенциальным злоумышленником, для чего исключают (см. блок 26 на фиг. 2а) MAC-адрес данного сетевого устройства из массива памяти NA DHCP-сервера 115 (см. фиг. 4), тем самым изолируют злоумышленника от дальнейшего информационного обмена в вычислительной сети при последующей смене IP-адресов сетевых устройств и коммуникационного оборудования 116, 117 (см. фиг. 4).
В случае же их несовпадения, то есть когда отправитель пакетов сообщений имеет нелегитимный IP-адрес, осуществляют изменение структурно-функциональных характеристик компонентов вычислительных сети. Для этого считывают (см. блок 27 на фиг. 2а) DHCP-сервером из массива D очередной номер вычислительной сети для перевода сетевых устройств в новую сеть, путем увеличения текущего номера сети d на единицу 109 (см. фиг. 3). Затем, вновь формируют (см. блок 28 на фиг. 2а) массив памяти NA и формируют (см. блок 29 на фиг. 2а) ответные сообщения DHCP-сервера, содержащие параметры установленного часового пояса и времени, а также новые IP-адреса IP(d+1) для сетевых устройств. Далее DHCP-сервером формируют (см. блок 30 на фиг. 2а) ответные сообщения, содержащие значения t(d+1)max 110 (см. фиг. 3), следующий номер вычислительной сети и IP-адрес выбранного DHCP-сервера IP(d+1)dhcp для каждого из сетевых устройств вычислительной сети.
Формирование нового значения времени аренды IP-адресов сетевых устройств вычислительной сети t(d+1)max осуществляют для исключения возможности злоумышленника вычислить алгоритм перестройки IP-адресов.
Далее с DHCP-сервера направляют (см. блок 31 на фиг. 2а) сформированные ответные сообщения содержащие параметры синхронизации установленного часового пояса и времени, а также новые IP-адреса. После этого направляют (см. блок 32 на фиг. 2а) с DHCP-сервера сетевым устройствам вычислительной сети, ответные сообщения, содержащие значение времени продолжительности аренды td+1max, номер вычислительной сети и IP-адрес выбранного DHCP-сервера IPd+1dhcp для каждого из сетевых устройств вычислительной сети.
Затем, после приема каждым сетевым устройством вычислительной сети сообщений, содержащих параметры синхронизации установленного часового пояса и времени, а также новые IP-адреса (см. блок 33 на фиг. 2а). После этого принимают (см. блок 34 на фиг. 2а) каждым сетевым устройством вычислительной сети новые значения времени продолжительности аренды td+1max, номер вычислительной сети и IP-адрес выбранного DHCP-сервера IPd+1dhcp.
Далее, прежде чем задать каждому сетевому устройству принятые параметры сетевой конфигурации определяют возможность прекращения времени аренды текущего IP-адреса в зависимости от степени критичности соединения (используемых в соединении сетевых протоколах в текущей момент времени). Для этого сравнивают (см. блок 35 на фиг. 2а), принадлежит ли идентификатор соединения между сетевыми устройствами вычислительной сети CIPm множеству идентификаторов критических соединений из массива СС.
В случае, если идентификатор соединения CIPm не принадлежит множеству идентификаторов критических соединений СС, то направляют (см. блок 36 на фиг. 2а) с DHCP-сервера сообщение сетевым устройствам вычислительной сети о прекращении аренды текущего IP-адреса. Для этого значение tdmax устанавливают равным нулю, и далее задают (см. блок 37 на фиг. 2а) каждому сетевому устройству вычислительной сети уже принятые новые параметры сетевой конфигурации, а именно: новые IP-адреса с новым значением времени продолжительности их аренды td+1max, номер вычислительной сети d и IP-адрес IPd+1dhcp выбранного DHCP-сервера (см. блок 38 на фиг. 2а).
В ином случае, то есть, когда прерываемые соединения является критическими, определяют являются ли прерываемое критическое соединение активным в данный момент, для этого считывают (см. блок 39 на фиг. 2а) маркеры активности соединений Am идентификаторов CIPm из множества СС, в случае если оно не активно, то есть Am=0, то активное соединение прерывают и задают (см. блок 37 на фиг. 2а) для сетевого устройства вычислительной сети новые IP-адреса, и новые значения (см. блок 38 на фиг. 2а) времени продолжительности аренды IP-адреса td+1max, номер вычислительной сети и IP-адрес IPd+1dhcp выбранного DHCP-сервера, иначе, вновь считывают (см. блок 39 на фиг. 2а) маркеры активности соединений Am идентификаторов CIPm из множества СС, до тех пор, пока критическое соединение станет не активным.
В рассматриваемом способе защиты вычислительных сетей очередной номер вычислительной сети DHCP-сервера d для перехода узлов защищаемой вычислительной сети в другую сеть при выявлении несанкционированной активности вычисляют по формуле d=d+1.
В рассматриваемом способе защиты вычислительных сетей очередное значение времени продолжительности аренды td+1max выбирают в случайном порядке в пределах от 700 до 4000 секунд. Это необходимо для исключения определения злоумышленником алгоритма смены номера сети d.
Результативность сформулированного технического результата была проверена путем программной реализации заявленного способа и проведения натурного эксперимента. Суть эксперимента - сравнение времени полного сканирования сетевых устройств вычислительной сети злоумышленником в способе-прототипе и при программной реализации заявленного способа защиты вычислительной сети. Для проведения эксперимента использовалась вычислительная сеть (см. фиг. 6), состоящая из пятидесяти сетевых устройств 118, в том числе DHCP-сервера 119, маршрутизатора 120, коммутаторов 121 и анализатора пакетов 122, позволяющего формировать детальный отчет. Для обнаружения активных сетевых устройств в вычислительной сети злоумышленником 123 применяется сетевой сканер NMAP, принцип работы которого известен и описан, например, в справочном руководстве NMAP (см. например, https://nmap.org/man/ru). По результатам сканирования злоумышленник может идентифицировать тип и версию операционной системы, открытые порты, запущенные сервисы и службы для последующей эксплуатации их уязвимостей и реализации компьютерных атак.
В проводимом эксперименте, при программной реализации заявленного способа, проведена оценка времени, необходимого злоумышленнику для полного сканирования вычислительной сети. На первом этапе эксперимента сканирование проводится без изменения IP-адресов сетевых устройств. На втором этапе с динамическим изменением IP-адресов сетевых устройств в рамках одной сети, как это предусмотрено способом-прототипом. На третьем этапе с динамическим изменением IP-адресов сетевых устройств с переводом их в другую сеть и изменяемым в случайном порядке временем продолжительности аренды IP-адресов td+1max, то есть так, как это предусмотрено в заявленном способе.
На первом этапе эксперимента (см. фиг. 7) представлены результаты полного сканирования вычислительной сети злоумышленником, при котором IP-адреса сетевых устройств не изменяются. В этом случае время сканирования составило 414 минут.
На втором этапе эксперимента (см. фиг. 8) время продолжительности аренды IP-адресов сетевых устройств было установлено DHCP-сервером равным 88 минутам, что соответствует интервалам времени А1, А2, А3, А4 на фиг. 8. Время полного сканирования вычислительной сети злоумышленником составило 554 минуты, что на 34% больше предыдущего результата. Несмотря на то, что IP-адреса подвергались изменению, злоумышленник ввиду повторяющейся периодичности изменения IP-адресов сетевых устройств определил точное время последующего изменения, а так же выполнил настройку утилиты NMAP с ключами ~$ sudo apt-get install nmap -у. Это позволило ему запомнить МА С-адреса уже просканированных сетевых устройств и составить базу соответствия MAC-адресов просканированных устройств новым IP-адресам, в результате чего злоумышленник не затратил дополнительный временной ресурс на повторное сканирование уже известных ему устройств.
На третьем этапе эксперимента, IP-адреса сетевых устройств изменялись в рамках нескольких сетей с применением различного времени их аренды после каждого изменения (см. фиг. 8). На этом этапе эксперимента время полного сканирования вычислительной сети злоумышленником составило 1423 минуты, что на 157% больше времени сканирования на предыдущем этапе эксперимента. После очередного изменения номера сети вычислительных устройств, на графике на фиг. 9 стрелками показаны точки, соответствующие моменту времени С в который произошло изменение IP-адресов сетевых устройств, злоумышленник практически бездействовал. В интервалы времени В1-B5 на фиг. 9 злоумышленник расходовал свой временной ресурс на определение сетевых параметров и выбор ключей запуска утилиты NMAP. Кроме того, временные интервалы В1-B5 на фиг. 9 демонстрируют, что простой злоумышленника вызван неоднородностью времени продолжительности аренды IP-адресов сетевых устройств td+1max.
Проведенный эксперимент показал, что за счет изменения IP-адресов сетевых узлов в рамках задаваемого диапазона подсетей значительно увеличивается продолжительность времени сканирования вычислительной сети злоумышленником. Также за счет изменения IP-адресов сетевых узлов в рамках задаваемого диапазона подсетей был устранен недостаток способа-прототипа, заключающийся в возможности расчета злоумышленником времени последующего изменения IP-адресов сетевых устройств, что позволяло ему выполнять настройку утилиты NMAP с опциями, позволяющими запоминать MAC-адреса уже просканированных устройств в сети. Применение tdmax случайных значений времени продолжительности аренды IP-адресов сетевых устройств увеличивает общую продолжительность времени сканирования вычислительной сети злоумышленником.
Таким образом, в заявленном способе обеспечивается достижение сформулированной цели, заключающейся в расширении области применения способа защиты за счет изменения IP-адресов узлов защищаемой вычислительной сети в рамках задаваемого диапазона подсетей без разрыва критически важных активных соединений, в повышении результативности защиты за счет изменения IP-адресов узлов защищаемой вычислительной сети через произвольные интервалы времени, изменяемые адаптивно в зависимости от условий функционирования и действий злоумышленника, а так же в понижении ресурсоемкости защиты за счет отсутствия необоснованных изменений структурно-функциональных характеристик компонентов вычислительных сетей, вызванных ложными срабатываниями.
название | год | авторы | номер документа |
---|---|---|---|
СПОСОБ ЗАЩИТЫ ВЫЧИСЛИТЕЛЬНЫХ СЕТЕЙ | 2023 |
|
RU2805354C1 |
СПОСОБ ЗАЩИТЫ ВЫЧИСЛИТЕЛЬНЫХ СЕТЕЙ | 2023 |
|
RU2810193C1 |
СПОСОБ ЗАЩИТЫ ВЫЧИСЛИТЕЛЬНЫХ СЕТЕЙ | 2022 |
|
RU2789810C1 |
СПОСОБ ЗАЩИТЫ ВЫЧИСЛИТЕЛЬНЫХ СЕТЕЙ | 2019 |
|
RU2726900C1 |
СПОСОБ ЗАЩИТЫ ВЫЧИСЛИТЕЛЬНЫХ СЕТЕЙ | 2018 |
|
RU2686023C1 |
СПОСОБ ЗАЩИТЫ ВЫЧИСЛИТЕЛЬНЫХ СЕТЕЙ | 2018 |
|
RU2690749C1 |
СПОСОБ ЗАЩИТЫ ВЫЧИСЛИТЕЛЬНЫХ СЕТЕЙ | 2018 |
|
RU2680038C1 |
СПОСОБ ЗАЩИТЫ ВЫЧИСЛИТЕЛЬНЫХ СЕТЕЙ | 2020 |
|
RU2747638C1 |
СПОСОБ ЗАЩИТЫ ВЫЧИСЛИТЕЛЬНЫХ СЕТЕЙ | 2020 |
|
RU2745004C1 |
СПОСОБ МАСКИРОВАНИЯ СТРУКТУРЫ СЕТИ СВЯЗИ | 2017 |
|
RU2656839C1 |
Изобретение относится к вычислительной технике. Технический результат заключается в повышении результативности и снижении ресурсоемкости зашиты. Способ защиты вычислительных сетей предназначен для использования в системах обнаружения атак с целью оперативного выявления и противодействия несанкционированным воздействиям в вычислительных сетях и содержит изменение IP-адресов узлов защищаемой вычислительной сети в рамках задаваемого диапазона подсетей без разрыва критически важных активных соединений, изменение IP-адресов узлов защищаемой вычислительной сети через произвольные интервалы времени, изменяемые адаптивно в зависимости от условий функционирования и действий злоумышленника, понижение ресурсоемкости защиты за счет отсутствия необоснованных изменений структурно-функциональных характеристик компонентов вычислительных сетей, вызванных ложными срабатываниями. 2 з.п. ф-лы, 9 ил.
1. Способ защиты вычислительных сетей, заключающийся в том, что предварительно задают IP={IP1, IP2 … IPn} множество IP-адресов сетевых устройств вычислительной сети, являющихся DHCP-клиентами DHCP-сервера, где n - максимальное допустимое значение количества IP-адресов сетевых устройств вычислительной сети, С={CIP1, CIP2 … CIPm} множество соединений между сетевыми устройствами вычислительной сети, где CIPm - идентификатор соединения между сетевыми устройствами вычислительной сети, который содержит в себе IP-адрес отправителя с, и получателя b, тип протокола взаимодействия, порты взаимодействия, где m - максимальное допустимое количество соединений между сетевыми устройствами вычислительной сети, CIPcm≥1 множество идентификаторов критических соединений между абонентами вычислительной сети, СС=[CIPc1, CIPc2 … CIPcm] массив памяти для хранения идентификаторов критически важных соединений между сетевыми устройствами вычислительной сети, которые не подлежат разрыву, MAC={MAC1, MAC2 … MACl} множество MAC-адресов сетевых устройств вычислительной сети, где l - максимальное количество сетевых устройств в вычислительной сети, массив памяти NA для хранения матрицы соответствия n-му IP-адресу сетевого устройства из множества IP-адресов l-го MAC-адреса из массива памяти MAC, подключают сетевые устройства к вычислительной сети, после чего устанавливают на DHCP-сервере соответствие MAC- и IP-адресов, запоминают соответствие MAC- и IP-адресов в массиве памяти NA и формируют DHCP-сервером ответные сообщения, содержащие параметры синхронизации установленного часового пояса и времени, назначенные IP-адреса, затем направляют с DHCP-сервера сформированные ответные сообщения сетевым устройствам вычислительной сети, после этого принимают каждым сетевым устройством вычислительной сети сообщение от DHCP-сервера и направляют от сетевых устройств вычислительной сети ответные сообщения DHCP-серверу, подтверждающие его выбор, далее принимают DHCP-сервером сообщения от сетевых устройств вычислительной сети, подтверждающие их выбор, задают сетевым устройствам вычислительной сети параметры синхронизации установленного часового пояса и времени, назначенные IP-адреса, затем устанавливают соединения между сетевыми устройствами вычислительной сети и назначают установленным соединениям между сетевыми устройствами вычислительной сети идентификаторы CIPm, далее принимают из канала связи пакет сообщения, формируют массив памяти NA для хранения матрицы соответствия MAC- и IP-адресов сетевых устройств вычислительной сети, а также формируют DHCP-сервером ответные сообщения, содержащие параметры синхронизации установленного часового пояса и времени новые IP-адреса, после этого направляют с DHCP-сервера сетевым устройствам вычислительной сети, ответные сообщения, содержащие параметры синхронизации установленного часового пояса и времени, новые IP-адреса, принимают каждым сетевым устройством вычислительной сети сообщения, содержащие новые IP-адреса и задают каждому сетевому устройству вычислительной сети эти IP-адреса, отличающийся тем, что в предварительно заданные исходные данные дополнительно задают подмножества d в множестве IP-адресов сетевых устройств вычислительной сети IPd={IPd1, IPd2 … IPdn}, где d - номер вычислительной сети DHCP-сервера, d=1, 2 … z, где z - максимальное количество номеров вычислительной сети, также для каждого подмножества d предварительно задают IP-адреса DHCP-серверов IPddhcp, где IPddhcp - IP-адрес DHCP-сервера для подмножества d, IPddhcp ∈ IPd, массив памяти D=[1, 2, …, z] для хранения номера вычислительной сети DHCP-сервера, а также tdmax - максимальное значение времени аренды всех IP-адресов вычислительной сети с номером d, далее в каждом идентификаторе соединения CIPm между сетевыми устройствами вычислительной сети дополнительно задают маркер активности соединения Am, а также предварительно задают массив памяти Ci=[CIP1, CIP2 … CIPm] для хранения идентификаторов CIPm и множество идентификаторов санкционированных информационных потоков TS≥1, также дополнительно задают FIPd={FIPd1, FIPd2 … FIPdn} - множество IP-адресов ложных абонентов вычислительной сети d, где n - максимальное допустимое количество IP-адресов сетевых устройств вычислительной сети, далее, после подключения сетевых устройств к вычислительной сети, направляют с сетевых устройств вычислительной сети сообщения на DHCP-сервер с IP-адресом IPddhcp, принимают DHCP-сервером с IP-адресом IPddhcp сообщения от сетевых устройств вычислительной сети и затем, после установления на DHCP-сервере соответствия MAC- и IP-адресов, его запоминания в массиве памяти NA и формирования DHCP-сервером ответных сообщений, содержащих параметры синхронизации установленного часового пояса и времени, назначенных IP-адресов, формируют DHCP-сервером ответные сообщения, содержащие значение времени продолжительности аренды tdmax, номер d сети DHCP-сервера и IP-адрес IPddhcp выбранного DHCP-сервера, для обратившихся с запросом сетевых устройств вычислительной сети, далее после направления с DHCP-сервера сформированных ответных сообщений, их приема каждым сетевым устройством вычислительной сети и направления ответных сообщений DHCP-серверу, подтверждающих их выбор, задают сетевым устройствам вычислительной сети время продолжительности аренды tdmax, номер d сети DHCP-сервера и IP-адрес IPddhcp выбранного DHCP-сервера, после чего удаляют из массива памяти NA те соответствия сетевых устройств вычислительной сети, от которых не получили сообщения, подтверждающие их выбор, и после установления соединения между сетевыми устройствами вычислительной сети и назначения установленным соединениям идентификаторов CIPm, запоминают идентификаторы CIPm в массиве памяти Ci, далее, после приема из канала связи пакета сообщения, выделяют из заголовка принятого пакета сообщения идентификатор информационного потока и сравнивают его с идентификаторами санкционированных информационных потоков TS, при совпадении выделенного идентификатора информационного потока с идентификаторами санкционированных информационных потоков TS, передают пакет сообщений получателю и принимают из канала связи следующий пакет сообщения, при несовпадении выделенного идентификатора с идентификаторами санкционированных информационных потоков TS, сравнивают IP-адрес получателя в принятом пакете сообщений с предварительно заданными ложными IP-адресами абонентов вычислительной сети FIP, далее при несовпадении IP-адреса получателя в принятом пакете сообщений с предварительно заданными ложными IP-адресами абонентов FIP, игнорируют пакет сообщений, а при совпадении IP-адреса получателя в принятом пакете сообщений с предварительно заданными ложными IP-адресами абонентов FIP, сравнивают IP-адрес отправителя пакетов сообщений с каждым IP-адресом сетевого устройства вычислительной сети из множества IPd, и в случае их совпадения блокируют IP-адрес отправителя пакетов сообщений, для чего исключают MAC-адрес сетевого устройства из массива NA DHCP-сервера, а в случае их несовпадения считывают DHCP-сервером из массива D следующий номер вычислительной сети, для чего увеличивают номер сети d на единицу (d=d+1), затем, после того как будет вновь сформирован массив памяти NA и ответные сообщения DHCP-сервера, содержащие параметры синхронизации установленного часового пояса и времени новые IP-адреса, формируют DHCP-сервером ответные сообщения, содержащие значение времени продолжительности аренды t(d+1)max, следующий номер вычислительной сети и IP-адрес выбранного DHCP-сервера IP(d+1)dhcp для каждого из сетевых устройств вычислительной сети, затем, после направления с DHCP-сервера сетевым устройствам вычислительной сети ответных сообщений содержащих параметры синхронизации установленного часового пояса и времени, новых IP-адресов, направляют с DHCP-сервера сетевым устройствам вычислительной сети, ответные сообщения, содержащие значение времени продолжительности аренды td+1max, номер вычислительной сети и IP-адрес выбранного DHCP-сервера IPd+1dhcp для каждого из сетевых устройств вычислительной сети, далее, после приема каждым сетевым устройством вычислительной сети сообщений, содержащих параметры синхронизации установленного часового пояса и времени, новые IP-адреса, принимают каждым сетевым устройством вычислительной сети новые значения времени продолжительности аренды td+1max, номер вычислительной сети и IP-адрес выбранного DHCP-сервера IPd+1dhcp, после этого сравнивают принадлежит ли идентификатор соединения между сетевыми устройствами вычислительной сети CIPm множеству идентификаторов критических соединений из массива СС, и в случае, если идентификатор соединения CIPm не принадлежит множеству идентификаторов критических соединений СС, то направляют с DHCP-сервера сообщение сетевым устройствам вычислительной сети о прекращении аренды текущего IP-адреса, для чего значение tdmax устанавливают равным нулю, и после задания каждому сетевому устройству вычислительной сети новых IP-адресов, задают каждому сетевому устройству вычислительной сети новые значение времени продолжительности аренды td+1max, номер вычислительной сети и IP-адрес IPd+1dhcp выбранного DHCP-сервера для каждого из сетевых устройств вычислительной сети, в ином случае, то есть, когда соединение является критическим, считывают маркеры активности соединений Am идентификаторов CIPm из множества СС, после этого сравнивают, является ли критическое соединение активным, в случае если критическое соединение не активно, то есть Am=0, то задают для каждого сетевого устройства вычислительной сети новые IP-адреса, значение времени продолжительности аренды IP-адресов td+1max, номер вычислительной сети и IP-адрес IPd+1dhcp выбранного DHCP-сервера для каждого из сетевых устройств вычислительной сети, иначе, вновь считывают маркеры активности соединений Am идентификаторов CIPm из множества СС.
2. Способ по п. 1, отличающийся тем, что очередной номер вычислительной сети DHCP-сервера d вычисляют как d=d+1.
3. Способ по п. 1, отличающийся тем, что очередное значение времени продолжительности аренды td+1max выбирают в пределах от 700 до 4000 секунд.
СПОСОБ ЗАЩИТЫ ВЫЧИСЛИТЕЛЬНЫХ СЕТЕЙ | 2018 |
|
RU2674802C1 |
СПОСОБ ЗАЩИТЫ ВЫЧИСЛИТЕЛЬНЫХ СЕТЕЙ | 2012 |
|
RU2475836C1 |
Способ многопоточной защиты сетевого трафика и система для его осуществления | 2015 |
|
RU2625046C2 |
Способ выбора маршрутов, получаемых по протоколу DHCP, в сети с коммутацией пакетов | 2016 |
|
RU2636403C1 |
US 20120117376 A1, 10.05.2012. |
Авторы
Даты
2020-03-06—Публикация
2019-07-22—Подача