Показать метаданные Скрыть метаданные

(19)

(11)

2 814 463

(13)

(51)

МПК

G06F21/55(2013-01-01)

(21) (22)

Заявка

2023120277, 2023-08-02

(24)

Дата начала отсчета патента

2023-08-02

(22)

дата подачи заявки

2023-08-02

(45)

опубликовано

2024-02-28

(72)

авторы

Бухарин Владимир ВладимировичКарайчев Сергей ЮрьевичНикитин Александр СергеевичКурчатов Максим СергеевичКоролёв Михаил ВикторовичСысоев Павел АнатольевичМельников Дмитрий Геннадьевич

(73)

патентообладатели

Федеральное Государственное Казенное Военное Образовательное Учреждение Высшего Образования Академия Федеральной Службы Охраны Российской Федерации

(56)

Документы, цитированные в отчете о поиске

CN 111756712 A,09.10.2020US 8819818 B2, 26.08.2014

СПОСОБ ЗАЩИТЫ ВЫЧИСЛИТЕЛЬНЫХ СЕТЕЙ НА ОСНОВЕ ЛЕГЕНДИРОВАНИЯ Российский патент 2024 года по МПК G06F21/55

Описание патента на изобретение RU2814463C1

Изобретение относится к области обеспечения безопасности сетей связи и может быть использовано в системах обнаружения компьютерных атак с целью повышения защищенности вычислительных сетей от деструктивных воздействий.

Известен «Способ контроля информационных потоков в цифровых сетях связи» по патенту РФ №2267154, класс G06F 15/40, заявл. 13.07.2004, заключающийся в том, что предварительно задают N≥1 опорных идентификаторов санкционированных информационных потоков (ИП), содержащих адреса отправителей и получателей пакетов сообщений, принимают из канала связи пакет сообщений, выделяют из заголовка принятого пакета сообщений идентификатор ИП, сравнивают выделенный идентификатор с предварительно заданными опорными идентификаторами санкционированных ИП и при их совпадении передают пакет сообщений получателю, а при их несовпадении сравнивают адрес отправителя, указанный в идентификаторе принятого пакета сообщений с адресами отправителей, указанными в опорных идентификаторах санкционированных ИП.

Известен также «Способ защиты вычислительных сетей» по патенту РФ №2307392, класс G06F 21/00, H04L 9/32, заявл. 02.05.2006, заключающийся в том, что предварительно задают Р≥1 ложных адресов абонентов вычислительной сети, эталоны идентификаторов типа протоколов взаимодействия, врем задержки отправки пакетов сообщений t_зад, а при несовпадении выделенных идентификаторов очередного принятого пакета с идентификаторами ранее запомненного i-го несанкционированного ИП сравнивают адрес получателя в принятом пакете сообщений с предварительно заданными ложными адресами абонентов вычислительной сети, и при их несовпадении, а так же при выполнении условия K_i>K_max, блокируют передачу пакета сообщений и переходят к приему очередного пакета сообщений, а при несовпадении адреса отправителя в принятом пакете сообщений с адресами отправителей опорных идентификаторов санкционированных ИП или совпадении адреса получателя в принятом пакете сообщений с адресами получателей опорных идентификаторов санкционированных ИП, или его совпадении с предварительно заданными ложными адресами абонентов вычислительной сети запоминают идентификатор очередного несанкционированного ИП, увеличивают на единицу число его появлений К_i и в случае невыполнении условия К_i≥К_max, формируют ответный пакет сообщений, соответствующий идентифицируемому протоколу взаимодействия, а затем через заданное время задержки отправки пакетов сообщений t_зад снижают скорость передачи сформированного пакета сообщений и передают его отправителю, после чего принимают из канала связи очередной пакет сообщений.

Известен также «Способ защиты вычислительных сетей» по патенту РФ №2475836, класс G06F 21/00, H04L 9/32, опубл. 20.02.2016, бюл. № 5, заключающийся в том, что задают множество эталонных наборов появлений несанкционированных ИП отличающихся друг от друга идентификаторами S_эт={S_j}, где j - заданное количество эталонных наборов соответствующих определенным типам компьютерных атак, S_j={С_r}, где С_r- определенная последовательность появлений несанкционированного ИП, отличающихся друг от друга идентификаторами, а также задают пороговое значение коэффициента совпадения Q_{совп_порог} последовательности появлений несанкционированного ИП с соответствующим эталонным набором. После выделения идентификаторов из заголовка очередного принятого пакета сообщений и их сравнения с опорными идентификаторами, при несовпадении адреса получателя в принятом пакете сообщений несанкционированного ИП с заданными ложными адресами абонентов вычислительной сети дополнительно добавляют его в список предварительно заданных ложных адресов абонентов вычислительной сети. Затем передают пакет сообщения несанкционированного ИП на заданные ложные адреса абонентов вычислительной сети, и идентифицируют несанкционированный ИП. Для чего сравнивают идентификаторы появления К_i принимаемого ИП со значениями С_r в эталонных наборах S_j появлений несанкционированных ИП, и при несовпадении формируют новый S_j₊₁ эталонный набор и запоминают его во множестве эталонных наборов появлений несанкционированного ИП, а при совпадении запоминают номера эталонных наборов, которым принадлежит i-ое появление несанкционированного ИП. После чего сравнивают значения полученного коэффициента совпадения Q_совп с пороговым значением Q_{совп_порог.} и при выполнении условия Q_совпQ_{совп_порог} блокируют i-ый несанкционированный ИП, и формируют сигнал атаки на вычислительную сеть, а при невыполнении условия после формирования ответного пакета сообщений увеличивают время задержки отправки пакетов сообщений t_зад на заданный интервал времени .

Наиболее близким по технической сущности к предлагаемому способу является «Способ защиты вычислительных сетей на основе адаптивного взаимодействия» по патенту РФ №2715165, класс G06F 21/00, G06F 12/14, H04L 9/32, опубл. 25.02.2020, бюл. № 6. Способ-прототип заключается в следующих действиях: предварительно запоминают N≥1 опорных идентификаторов санкционированных ИП, содержащих адреса отправителей и получателей пакетов сообщений, задают Р≥1 ложных адресов абонентов вычислительной сети, задают множество эталонных наборов появлений несанкционированных ИП, отличающихся друг от друга идентификаторами S_эт={S_j}, где j - заданное количество эталонных наборов соответствующих определенным типам компьютерных атак, в котором S_j={С_r}, где С_r- определенная последовательность появлений несанкционированного ИП, отличающихся друг от друга идентификаторами, принимают очередной пакет сообщений и определяют его легитимность, для чего выделяют из его заголовка идентификаторы, которые сравнивают с опорными идентификаторами и при их совпадении передают легитимный пакет сообщений получателю, после чего принимают очередной пакет сообщений и повторяют совокупность действий по определению его легитимности, а при отсутствии совпадения запоминают идентификаторы принятого несанкционированного ИП, присваивают ему очередной i-й идентификационный номер, затем передают пакет сообщения несанкционированного ИП на заданные ложные адреса абонентов вычислительной сети и идентифицируют несанкционированный ИП, для чего сравнивают идентификаторы появления К_i принимаемого несанкционированного ИП со значениями С_r в эталонных наборах S_j появлений несанкционированных ИП и при их совпадении блокируют передачу пакета сообщений и переходят к приему очередного пакета сообщений, а при несовпадении формируют ответный пакет сообщений, отличающийся тем, что, в исходные данные дополнительно задают множество информационных ресурсов P_доп имеющихся на каждом Р ложном адресе абонентов вычислительной сети, а так же задают начальное пороговое значение коэффициента совпадения Q^нач_{совп порог}и конечное пороговое значение коэффициента совпадения Q^кон_{совп порог}последовательности появлений несанкционированного ИП с соответствующим эталонным набором j, после передачи пакета сообщения несанкционированного ИП на заданные ложные адреса абонентов вычислительной сети выделяют из них идентификаторы появления К_iнесанкционированного ИП, и определяют для него требуемый информационный ресурс P_доп, после чего предоставляют его для взаимодействия с соответствующим появлением несанкционированного ИП К_i, затем вычисляют текущее значение коэффициента совпадения Q^тек_совп последовательности появлений несанкционированного ИП с эталонными наборами S_эт, после чего сравнивают значения полученного коэффициента совпадения Q^тек_совп с начальным пороговым значением Q^нач_{совп порог} и при выполнении условия Q^тек_совп Q^нач_{совп порог} запоминают эталонный набор S_j соответствующий текущей последовательности появлений несанкционированного ИП, а при невыполнении условия принимают очередной пакет сообщений для дальнейшего определения его легитимности, затем сравнивают значения полученного коэффициента совпадения Q^тек_совп с конечным пороговым значением Q^кон_{совп порог} и при выполнении условия Q^тек_совп Q^кон_{совп порог} блокируют i-ый несанкционированный ИП и формируют сигнал атаки на вычислительную сеть, а при невыполнении условия определяют последующее появление С_i₊₁ несанкционированного ИП из запомненного эталонного набора S_j и формируют для него ответный пакет сообщения, а затем передают его.

Техническая проблема заключается в низкой защищенности вычислительных сетей, обусловленная тем, что реализуемое взаимодействие ложных адресов вычислительной сети с несанкционированными ИП не учитывает возможность формирования определенной последовательности предоставления информационных ресурсов в виде легенды.

Техническая проблема решается за счет реализации формирования определенной последовательности предоставления информационных ресурсов при взаимодействии с несанкционированными ИП.

Техническим результатом является повышение защищенности вычислительных сетей от деструктивных воздействий за счет реализации легендирования последовательности предоставления информационных ресурсов путем формирования достаточного множества легенд для взаимодействия с несанкционированными ИП с учетом сетевого расположения их источников.

Техническая проблема решается тем, что в способе защиты вычислительных сетей на основе легендирования, заключающемся в том, что предварительно запоминают N≥1 опорных идентификаторов санкционированных ИП, содержащих адреса отправителей и получателей пакетов сообщений, задают Р≥1 ложных адресов абонентов вычислительной сети, принимают очередной пакет сообщений, и определяют его легитимность, для чего выделяют из его заголовка идентификаторы, которые сравнивают с опорными идентификаторами, и при их совпадении передают легитимный пакет сообщений получателю. После чего принимают очередной пакет сообщений и повторяют совокупность действий по определению его легитимности, а при отсутствии совпадения запоминают идентификаторы принятого несанкционированного ИП, присваивают ему очередной i-й идентификационный номер. Затем передают пакет сообщения несанкционированного ИП на заданные ложные адреса абонентов вычислительной сети. Дополнительно задают множество наборов информационных ресурсов Z = {Z_l}, где l - заданное количество наборов информационных ресурсов, Z_l={V_c}, где V_c - определенная последовательность информационных ресурсов в конкретном наборе, имеющихся на каждом Р ложном адресе абонентов вычислительной сети, а также задают множество эталонных наборов соответствия идентификаторов несанкционированных ИП наборам информационных ресурсов R_эт={R_j}, где j - заданное количество эталонных наборов соответствия идентификаторов несанкционированных ИП к определенному набору информационных ресурсов. После передачи пакета сообщения несанкционированного ИП на заданные ложные адреса абонентов вычислительной сети и выделения из них идентификаторов появления К_iнесанкционированного ИП сравнивают его со значениями в эталонных наборах R_j соответствия идентификаторов несанкционированных ИП к определенному набору информационных ресурсов. При несовпадении определяют свободный набор информационных ресурсов Z_l и предоставляют из него первый информационных ресурс V₁ для начала взаимодействия с соответствующим проявлению несанкционированного ИП К_i. Также формируют новый R_j₊₁ эталонный набор соответствия идентификаторов несанкционированных ИП к определенному набору информационных ресурсов и запоминают его во множестве эталонных наборов соответствия идентификаторов несанкционированных ИП наборам информационных ресурсов R_эт. При совпадении определяют набор информационных ресурсов Z_lсоответствующий проявлением несанкционированного ИП К_i. После чего определяют информационный ресурс V_c₊₁ следующий в последовательности информационных ресурсов соответствующего набора информационного ресурса Z_l. Затем предоставляют его для взаимодействия с соответствующим проявлением несанкционированного ИП К_i. После чего сравнивают значение предоставленного информационного ресурса V_c₊₁ с конечным значением информационного ресурса V_Св данном наборе информационных ресурсов Z_l. При выполнении условия V_c₊₁= V_С блокируют i-ый несанкционированный ИП, и формируют сигнал атаки на вычислительную сеть. При невыполнении условия формируют от текущего информационного ресурса ответный пакет сообщения, а затем передают его.

Перечисленная новая совокупность существенных признаков обеспечивает повышение защищенности вычислительных сетей за счет реализации легендирования последовательности предоставления информационных ресурсов путем формирования множества легенд для взаимодействия с несанкционированными ИП с учетом сетевого расположения их источников.

Проведенный анализ уровня техники позволил установить, что аналоги, характеризующиеся совокупностями признаков, тождественным всем признакам заявленного способа, отсутствуют. Следовательно, заявленные изобретения соответствуют условию патентоспособности «новизна».

Результаты поиска известных решений в данной и смежной областях техники с целью выявления признаков, совпадающих с отличительными от прототипов признаками заявленного изобретения, показали, что они не следуют явным образом из уровня техники. Из определенного заявителем уровня техники не выявлена известность влияния предусматриваемых существенными признаками заявленного изобретения на достижение указанного технического результата. Следовательно, заявленное изобретение соответствует условию патентоспособности «изобретательский уровень».

«Промышленная применимость» способа обусловлена наличием элементной базы, на основе которой могут быть выполнены устройства, реализующие данный способ с достижением указанного в изобретении результата.

Заявленный способ поясняется чертежами, на которых показаны:

на фиг. 1 - схема, поясняющая построение рассматриваемой сети;

на фиг. 2 - способ защиты вычислительных сетей на основе легендирования.

Реализацию заявленного способа можно пояснить на схеме вычислительной сети (ВС), показанной на фиг. 1.

Представленная ВС состоит из маршрутизатора 1, подключающего внутреннюю вычислительную сеть 2 к внешней сети 3. Внутренняя вычислительная сеть состоит из защищаемой локально-вычислительной сети (ЛВС) 4 и ложной ЛВС 5. В общем случае защищаемая ЛВС 4 представляет собой совокупность ПЭВМ 4.1₁-4.1_N, периферийного и коммуникационного оборудования 6₁, 6₂, объединенного физическими линиями связи. Все эти элементы определяются идентификаторами, в качестве которых в наиболее распространенном стеке протоколов TCP/IP используются сетевые адреса (IP-адреса). Ложная ЛВС 5 состоит из ПЭВМ 5.1₁-5.1_P имеющих ложные адреса, а также сетевых элементов, включающих совокупность информационных ресурсов 5.2₁-5.2_Z. Кроме того, имеется средство защиты 7 и база данных 8 наборов информационных ресурсов. При этом, в конкретном наборе представлена строго определенная последовательность информационных ресурсов, реализующая заданную легенду. Также, для реализации возможности учета сетевого расположения источников несанкционированных ИП имеется база данных 9 эталонных наборов соответствия идентификаторов несанкционированных ИП наборам информационных ресурсов. Данная база данных необходима для определения набора информационных ресурсов, которые ранее предоставлялись для взаимодействия с конкретными несанкционированными ИП, что позволяет при повторном взаимодействии использовать один и тот же набор информационных ресурсов.

На фиг. 2 представлен способ защиты вычислительных сетей на основе легендирования, где приняты следующие обозначения:

N≥1 - база из опорных идентификаторов санкционированных ИП, содержащих адреса отправителей и получателей пакетов сообщений;

P≥1 - база из ложных адресов абонентов вычислительной сети;

ID - идентификатор ИП;

{ID_o} - совокупность опорных идентификаторов санкционированных ИП;

ID _нс - идентификатор несанкционированного ИП;

{ID_нс} - совокупность идентификаторов ранее запомненного несанкционированного ИП;

IP _o - адрес отправителя, указанный в идентификаторе принятого пакета сообщений;

{IP_oo} - совокупность адресов отправителей, указанных в опорных идентификаторах санкционированных ИП;

{IP_л} - совокупность ложных адресов абонентов вычислительной сети;

Z_l - множество наборов информационных ресурсов;

V_c - определенная последовательность информационных ресурсов в конкретном наборе;

R _эт - множество эталонных наборов соответствия идентификаторов несанкционированных ИП наборам информационных ресурсов;

R_j - эталонный набор соответствия идентификаторов несанкционированных ИП к определенному набору информационных ресурсов.

При взаимодействии с источниками несанкционированных воздействий в современных системах защиты от компьютерных атак, в которых реализованы механизмы использования ложных адресов, то есть наличие ложной вычислительной сети, осуществляется имитация структуры и функционирования реальной вычислительной сети. Однако, более целесообразно применение подхода скрытия реальной вычислительной сети посредством легендирования.

Легендирование - это способ защиты информации от технических разведок, предусматривающий преднамеренное распространение и поддержание ложной информации о функциональном предназначении объекта защиты [Доронин А. И. Бизнес-разведка. - 2-е изд., перераб. и доп. - М.: Издательство «Ось-89», 2003, c. 264].

При этом злоумышленнику предоставляется искаженные сведения о характере и предназначении защищаемой информации или объекта, когда их наличие полностью не скрывается, а маскируется действительное предназначение и характер действий [Домарев В.В. Безопасность информационных технологий. Методология создания систем защиты. - К.: ООО «ТИД «ДС», 2002, с.639].

Таким образом, в заявленном способе предполагается реализация легендирования последовательности предоставления информационных ресурсов путем формирования множества легенд для взаимодействия с несанкционированными ИП. При этом легенда будет представлять собой строгую последовательность информационных ресурсов V_c имитирующую облик объекта, существенно отличающийся от защищаемой вычислительной сети. Например, если защищаемая вычислительная сеть принадлежит финансовой организации, то формируемая ложная вычислительная сеть может имитировать социальную службу, организацию профессионального обучения или интернет-магазин. В этом случае злоумышленник либо фактически сразу откажется от реализации атаки из-за незаинтересованности к ложному объекту, что можно обозначить как политику «отпугивания» от реальной вычислительной сети, либо продолжит воздействия на ложный объект, но в этом случае можно считать, что реальная вычислительная сеть не является целью злоумышленника. При этом повышается вероятность защищенности вычислительной сети от внешних деструктивных воздействий.

Первоначально задают исходные данные: опорные идентификаторы санкционированных ИП, содержащих адреса отправителей и получателей пакетов сообщений; ложные адреса абонентов вычислительной сети; множество наборов информационных ресурсов; множество эталонных наборов соответствия идентификаторов несанкционированных ИП наборам информационных ресурсов (блок 1, фиг. 2).

При этом, формируется множество наборов информационных ресурсов Z = {Z_l}, где l - заданное количество наборов информационных ресурсов, Z_l={V_c}, где V_c - определенная последовательность информационных ресурсов в конкретном наборе. Каждый набор информационных ресурсов сформирован как структурно, так и функционально для поддержания разработанной легенды, то есть объекта, не относящегося к реальной вычислительной сети и имеющий другое предназначение, существенно отличающееся от защищаемой вычислительной сети.

Кроме того, формируется множество эталонных наборов соответствия идентификаторов несанкционированных ИП наборам информационных ресурсов R_эт={R_j}, где j - заданное количество эталонных наборов соответствия идентификаторов несанкционированных ИП к определенному набору информационных ресурсов. То есть, каждому элементу K_i, принадлежащему множеству несанкционированных ИП {ID_нс}, поставлен в соответствие некоторый элемент Z_l, принадлежащий множеству наборов информационных ресурсов Z, и говорят, что на множестве несанкционированных ИП {ID_нс} задана некоторая функция R_j со значениями на множестве наборов информационных ресурсов Z [Карнаков В.А. Лекции по линейной алгебре. Учебное пособие. - Иркутск 2016, с. 5]. Таким образом, эталонный набор соответствия идентификаторов несанкционированных ИП наборам информационных ресурсов формально можно записать как R_j :K_i →Z_l.

Далее принимают очередной пакет сообщений, определяют его легитимность и при несовпадении присваивают идентификатору ID пакета сообщений номер появления К_i принимаемого несанкционированного ИПи передают данный пакет на ложную вычислительную сеть (блок 2-9, фиг. 2).

После передачи пакета сообщения несанкционированного ИП на заданные ложные адреса абонентов вычислительной сети и выделенияиз них идентификатора появления К_iнесанкционированного ИП сравнивают его со значениями в эталонных наборах R_j соответствия идентификаторов несанкционированных ИП к определенному набору информационных ресурсов (блок 10, фиг. 2).

При этом осуществляется определение является ли появление К_i несанкционированного ИП новым или данный несанкционированный ИП уже взаимодействует с ложным объектом или взаимодействие было ранее и имеется эталонный набор R_j соответствия идентификаторов несанкционированных ИП к определенному набору информационных ресурсов с соответствующей записью R_j: K_i→ Z_l. Это позволяет для взаимодействия предоставлять злоумышленнику один и тот же набор информационных ресурсов описывающий легенду конкретного ложного объекта. Для реализации механизма определения соответствия идентификаторов несанкционированных ИП к определенному набору информационных ресурсов используется IP-адрес, однако при динамическом его формировании (динамические записи) возникнут сложности, связанные с предоставлением провайдером услуг доступа во внешней сети IP-адреса из ARP-сервера (свободного на момент обращения к серверу) [Олифер, В. Г. Компьютерные сети. Принципы, технологии, протоколы (5-е издание)./ Олифер, В. Г., Олифер Н. А. // - СПб. : Питер, 2016. 992 с.]. Для устранения этого недостатка предлагается осуществлять идентификацию не по полному IP-адресу, а по части IP-адреса достаточной для идентификации сегмента сети (сетевое расположение) относящегося к одному ARP-серверу, то есть одному и тому же провайдеру, что позволит предоставлять группе злоумышленников данного сегмента ложный объект с конкретно определенной легендой.

В соответствии с существующим подходом IP-адрес состоит из двух логических частей - адреса сети и адреса узла в сети, при этом адрес сети определяется по маске [Олифер, В. Г. Компьютерные сети. Принципы, технологии, протоколы (5-е издание)./ Олифер, В. Г., Олифер Н. А. // - СПб. : Питер, 2016. 992 с.], что позволяет использовать это при сравнении идентификатора несанкционированного ИП с эталонными наборами R_j. В этом случае злоумышленники, относящиеся к определенному сегменту (сетевое расположение) вне зависимости от периодичности воздействия (будет использован различный динамически сформированный IP-адрес) получат для взаимодействия один и тот же ложный объект, что не вызовет их подозрений, которые могли бы появиться при случайном изменении предоставляемого набора информационных ресурсов, и соответственно позволит избежать вскрытия используемых легенд.

При совпадении идентификаторов несанкционированных ИП со значениями в эталонных наборах R_j определяют набор информационных ресурсов Z_l соответствующий проявлением несанкционированного ИП К_i. После чего определяют информационный ресурс V_c₊₁ следующий в последовательности информационных ресурсов соответствующего набора информационного ресурса Z_l. Затем предоставляют его для взаимодействия с соответствующим проявлением несанкционированного ИП К_i (блоки 11-13, фиг. 2).

После чего сравнивают значение предоставленного информационного ресурса V_c₊₁ с конечным значением информационного ресурса V_С в данном наборе информационных ресурсов Z_l (блок 14, фиг. 2). Это позволяет последовательно задействовать набор информационного ресурса, который должен сформировать у злоумышленника достаточно полный информационный облик представленного ложного объекта.

При выполнении условия V_c₊₁= V_С блокируют i-ый несанкционированный ИП, и формируют сигнал атаки на вычислительную сеть (блок 15, фиг. 2). При невыполнении условия формируют от текущего информационного ресурса ответный пакет сообщения, а затем передают его отправителю (блоки 19, 20, фиг. 2).

При несовпадении идентификаторов несанкционированных ИП со значениями в эталонных наборах R_j определяют свободный набор информационных ресурсов Z_l и предоставляют из него первый информационный ресурс V₁ для начала взаимодействия с соответствующим проявлением несанкционированного ИП К_i. Также формируют новый R_j₊₁ эталонный набор соответствия идентификаторов несанкционированных ИП к определенному набору информационных ресурсов и запоминают его во множестве эталонных наборов соответствия идентификаторов несанкционированных ИП наборам информационных ресурсов R_эт (блоки 16-18, фиг. 2). Далее формируют от текущего информационного ресурса ответный пакет сообщения, а затем передают его отправителю (блоки 19, 20, фиг. 2).

Достижение технического результата поясняется следующим образом. В способе-прототипе при формировании информационного ресурса ложного объекта производится имитация функционирования реальной вычислительной сети, вследствие чего это заинтересует злоумышленника и позволит предоставить ему ложные данные, однако существует возможность, при которой в ходе взаимодействия злоумышленник определит элементы защищаемой вычислительной сети и в дальнейшем при развитии компьютерной атаки осуществит деструктивные воздействия на них, что приведет к существенному уменьшению защищенности вычислительной сети. В заявленном способе предполагается реализация легендирования последовательности предоставления информационных ресурсов путем формирования множества легенд для взаимодействия с несанкционированными ИП, за счет предоставления искаженных сведений о характере и предназначении защищаемого объекта, когда их наличие полностью не скрывается, а маскируется действительное предназначение и характер действий. При этом, легенда представляет собой строгую последовательность информационных ресурсов, имитирующую облик объекта, существенно отличающийся от защищаемой вычислительной сети. Например, если защищаемая вычислительная сеть принадлежит финансовой организации, то формируемая ложная вычислительная сеть может имитировать социальную службу, организацию профессионального обучения или интернет-магазин. В этом случае злоумышленник либо фактически сразу откажется от реализации атаки из-за незаинтересованности к ложному объекту, что можно обозначить как политику «отпугивания» от реальной вычислительной сети, либо продолжит воздействия на ложный объект, но в этом случае можно считать, что реальная вычислительная сеть не является целью злоумышленника.

Кроме того, при организации взаимодействия со злоумышленником реализованы действия, которые позволяют предоставлять группе злоумышленников определенного сегмента, то есть с учетом их сетевого расположения, ложный объект с конкретно определенной легендой, что не вызовет их подозрений, которые могли бы появиться при случайном изменении предоставляемого набора информационных ресурсов, и соответственно позволит избежать вскрытия используемых легенд.

Таким образом, заявленный способ за счет реализации легендирования последовательности предоставления информационных ресурсов путем формирования множества легенд для взаимодействия с несанкционированными ИП с учетом сетевого расположения их источников позволяет повысить защищенность вычислительных сетей.

Иллюстрации к изобретению RU 2 814 463 C1

Реферат патента 2024 года СПОСОБ ЗАЩИТЫ ВЫЧИСЛИТЕЛЬНЫХ СЕТЕЙ НА ОСНОВЕ ЛЕГЕНДИРОВАНИЯ

Изобретение относится к области обеспечения безопасности сетей связи и может быть использовано в системах обнаружения компьютерных атак с целью оперативного выявления и противодействия несанкционированным воздействиям в вычислительных сетях. Технический результат заключается в повышении защищенности вычислительных сетей. Указанный результат обеспечивается за счет реализации легендирования последовательности предоставления информационных ресурсов путем формирования достаточного множества легенд для взаимодействия с несанкционированными информационными потоками с учетом сетевого расположения их источников. 2 ил.

Формула изобретения RU 2 814 463 C1

Способ защиты вычислительных сетей на основе легендирования, заключающийся в том, что предварительно запоминают N≥1 опорных идентификаторов санкционированных информационных потоков, содержащих адреса отправителей и получателей пакетов сообщений, задают Р≥1 ложных адресов абонентов вычислительной сети, принимают очередной пакет сообщений и определяют его легитимность, для чего выделяют из его заголовка идентификаторы, которые сравнивают с опорными идентификаторами, и при их совпадении передают легитимный пакет сообщений получателю, после чего принимают очередной пакет сообщений и повторяют совокупность действий по определению его легитимности, а при отсутствии совпадения запоминают идентификаторы принятого несанкционированного информационного потока, присваивают ему очередной i-й идентификационный номер, затем передают пакет сообщения несанкционированного информационного потока на заданные ложные адреса абонентов вычислительной сети, отличающийся тем, что в исходные данные дополнительно задают множество наборов информационных ресурсов Z={Z_l}, где l – заданное количество наборов информационных ресурсов, Z_l={V_c}, где V_c – определенная последовательность информационных ресурсов в конкретном наборе, имеющихся на каждом Р ложном адресе абонентов вычислительной сети, а также задают множество эталонных наборов соответствия идентификаторов несанкционированных информационных потоков наборам информационных ресурсов R_эт={R_j}, где j – заданное количество эталонных наборов соответствия идентификаторов несанкционированных информационных потоков к определенному набору информационных ресурсов, после передачи пакета сообщения несанкционированного информационного потока на заданные ложные адреса абонентов вычислительной сети и выделения из них идентификаторов появления К_i несанкционированного информационного потока сравнивают его со значениями в эталонных наборах R_j соответствия идентификаторов несанкционированных информационных потоков к определенному набору информационных ресурсов и при совпадении идентификаторов несанкционированных информационных потоков со значениями в эталонных наборах R_j определяют набор информационных ресурсов Z_l, соответствующий проявлению несанкционированного информационного потока К_i, после чего определяют информационный ресурс V_c₊₁, следующий в последовательности информационных ресурсов соответствующего набора информационного ресурса Z_l, затем предоставляют его для взаимодействия с соответствующим проявлением несанкционированного информационного потока К_i, после чего сравнивают значение предоставленного информационного ресурса V_c₊₁ с конечным значением информационного ресурса V_С в данном наборе информационных ресурсов Z_l, и при выполнении условия V_c₊₁=V_С блокируют i-й несанкционированный информационный поток и формируют сигнал атаки на вычислительную сеть, а при невыполнении условия формируют от текущего информационного ресурса ответный пакет сообщения и передают его отправителю, при несовпадении идентификаторов несанкционированных информационных потоков со значениями в эталонных наборах R_j определяют свободный набор информационных ресурсов Z_l и предоставляют из него первый информационный ресурс V₁ для начала взаимодействия с соответствующим проявлением несанкционированного информационного потока К_i, а также формируют новый R_j₊₁ эталонный набор соответствия идентификаторов несанкционированных информационных потоков к определенному набору информационных ресурсов и запоминают его во множестве эталонных наборов соответствия идентификаторов несанкционированных информационных потоков наборам информационных ресурсов R_эт, а затем также формируют ответный пакет сообщения от текущего информационного ресурса и передают его отправителю.

Документы, цитированные в отчете о поиске Патент 2024 года RU2814463C1

СПОСОБ ЗАЩИТЫ ВЫЧИСЛИТЕЛЬНЫХ СЕТЕЙ НА ОСНОВЕ АДАПТИВНОГО ВЗАИМОДЕЙСТВИЯ	2019	Бухарин Владимир Владимирович Казачкин Антон Владимирович Карайчев Сергей Юрьевич Дамм Виктор Александрович Булгаков Сергей Иванович	RU2715165C1
СПОСОБ ЗАЩИТЫ ВЫЧИСЛИТЕЛЬНЫХ СЕТЕЙ	2012	Баленко Ольга Александровна Бухарин Владимир Владимирович Васинев Дмитрий Александрович Кирьянов Александр Владимирович Стародубцев Юрий Иванович Стукалов Игорь Владиславович	RU2475836C1
CN 111756712 A,09.10.2020
US 8819818 B2, 26.08.2014
Электромагнитный прерыватель	1924	Гвяргждис Б.Д. Горбунов А.В.	SU2023A1

RU 2 814 463 C1

Авторы

Бухарин Владимир Владимирович

Карайчев Сергей Юрьевич

Никитин Александр Сергеевич

Курчатов Максим Сергеевич

Королёв Михаил Викторович

Сысоев Павел Анатольевич

Мельников Дмитрий Геннадьевич

Даты

2024-02-28—Публикация

2023-08-02—Подача

название	год	авторы	номер документа
СПОСОБ ЗАЩИТЫ ВЫЧИСЛИТЕЛЬНЫХ СЕТЕЙ С ИДЕНТИФИКАЦИЕЙ НЕСКОЛЬКИХ ОДНОВРЕМЕННЫХ АТАК	2019	Бухарин Владимир Владимирович Казачкин Антон Владимирович Карайчев Сергей Юрьевич Сысоев Павел Анатольевич Васечкин Евгений Александрович	RU2739206C1
СПОСОБ ЗАЩИТЫ ВЫЧИСЛИТЕЛЬНЫХ СЕТЕЙ ОТ КОМПЬЮТЕРНЫХ АТАК, НАПРАВЛЕННЫХ НА РАЗЛИЧНЫЕ УЗЛЫ И ИНФОРМАЦИОННЫЕ РЕСУРСЫ	2021	Карайчев Сергей Юрьевич Бухарин Владимир Владимирович Никитин Александр Сергеевич Пикалов Евгений Дмитриевич Васечкин Евгений Александрович Стус Александр Александрович	RU2782704C1
СПОСОБ ЗАЩИТЫ ВЫЧИСЛИТЕЛЬНЫХ СЕТЕЙ НА ОСНОВЕ АДАПТИВНОГО ВЗАИМОДЕЙСТВИЯ	2019	Бухарин Владимир Владимирович Казачкин Антон Владимирович Карайчев Сергей Юрьевич Дамм Виктор Александрович Булгаков Сергей Иванович	RU2715165C1
СПОСОБ ЗАЩИТЫ ВЫЧИСЛИТЕЛЬНЫХ СЕТЕЙ	2018	Бухарин Владимир Владимирович Карайчев Сергей Сергеевич Казачкин Антон Владимирович Таранов Алексей Борисович Ступаков Игорь Георгиевич	RU2696549C1
СПОСОБ ЗАЩИТЫ ВЫЧИСЛИТЕЛЬНЫХ СЕТЕЙ	2018	Бухарин Владимир Владимирович Карайчев Сергей Юрьевич Казачкин Антон Владимирович Санин Юрий Васильевич Ступаков Игорь Георгиевич Бурховецкий Алексей Сергеевич	RU2674802C1
СПОСОБ ЗАЩИТЫ ВЫЧИСЛИТЕЛЬНЫХ СЕТЕЙ	2012	Баленко Ольга Александровна Бухарин Владимир Владимирович Васинев Дмитрий Александрович Кирьянов Александр Владимирович Стародубцев Юрий Иванович Стукалов Игорь Владиславович	RU2475836C1
СПОСОБ (ВАРИАНТЫ) ЗАЩИТЫ ВЫЧИСЛИТЕЛЬНЫХ СЕТЕЙ	2006	Выговский Леонид Сергеевич Заргаров Иван Артемович Кожевников Дмитрий Анатольевич Максимов Роман Викторович Павловский Антон Владимирович Стародубцев Юрий Иванович Худайназаров Юрий Кахрамонович Юров Игорь Александрович	RU2307392C1
СПОСОБ ЗАЩИТЫ ВЫЧИСЛИТЕЛЬНЫХ СЕТЕЙ	2017	Максимов Роман Викторович Орехов Дмитрий Николаевич Проскуряков Игорь Сергеевич Соколовский Сергей Петрович	RU2649789C1
СПОСОБ ЗАЩИТЫ ИНФОРМАЦИОННЫХ СИСТЕМ	2023	Соколовский Сергей Петрович Москвин Артём Александрович Максимов Роман Викторович Ворончихин Иван Сергеевич Горбачёв Александр Александрович Теленьга Александр Павлович Спирин Андрей Валентинович Егоров Виталий Анатольевич	RU2805368C1
СПОСОБ ЗАЩИТЫ ВЫЧИСЛИТЕЛЬНЫХ СЕТЕЙ	2018	Гаврилов Алексей Леонидович Катунцев Сергей Леонидович Максимов Роман Викторович Орехов Дмитрий Николаевич Прокопенко Андрей Валерьевич Проскуряков Игорь Сергеевич Соколовский Сергей Петрович	RU2680038C1