Способ защиты вычислительных сетей Российский патент 2024 года по МПК G06F21/60 H04L12/00 

Изобретение относится к электросвязи и может быть использовано в системах обнаружения атак с целью оперативного выявления и противодействия несанкционированным воздействиям в вычислительных сетях, в частности, в сетях передачи данных типа «Internet», основанных на семействе коммуникационных протоколов TCP/IP (Transmission Control Protocol / Internet Protocol).

Известен способ защиты вычислительных сетей, описанный в статье Antonatos S., Р., Markatos Е., Anagnostakis K. Defending Hitlist Worms using Network Address Space Randomization 2005 ACM Workshop on Rapid Malcode, Fairfax, VA USA, на стр. 30-40. Известный способ включает следующую последовательность действий. Подключают сетевые устройства к вычислительной сети. DHCP-сервером задают для сетевых устройств вычислительной сети, от которых поступили запросы, параметры синхронизации установленного часового пояса, времени продолжительности аренды t_ap и IP-адреса. После этого устанавливают сетевые соединения между сетевыми устройствами сети. По окончании времени продолжительности аренды IP-адресов t_ap формируют на DHCP-сервере в случайном порядке новые IP-адреса в текущей подсети и другие сетевые параметры для каждого из сетевых устройств вычислительной сети. Для сетевых устройств, между которыми не установлено критическое соединение задают новые IP-адреса, на которые они переходят по истечении времени аренды t_ap, а для сетевых устройств, между которыми установлено критическое соединение продлевают аренду IP-адресов на такое же время до конца активности соединения, после чего сетевые устройства переходят на новые IP-адреса в текущей подсети. Очередной переход на новые IP-адреса осуществляется по истечении времени t_ap.

Недостатком данного способа является его относительно узкая область применения, относительно низкая результативность и относительно высокая ресурсоемкость защиты. Узкая область применения обусловлена тем, что изменение IP-адресов узлов защищаемой вычислительной сети происходит в рамках одной подсети, что накладывает ограничение на используемый диапазон перестройки параметров защищаемой вычислительной сети, состоящей из относительно большого количества IР-адресов узлов. Это может привести к возможности вычисления нарушителем алгоритма перестройки IP-адресов узлов защищаемой вычислительной сети и принятию им мер по обходу системы защиты. Относительно низкая результативность связана с изменением IP-адресов узлов защищаемой вычислительной сети через фиксированный промежуток времени t_ap вне зависимости от условий функционирования и действий нарушителя. Это может привести к несвоевременному переводу вычислительной сети в заранее определенную конфигурацию, влекущему за собой пропуск несанкционированного воздействия или ложное срабатывание системы защиты. Относительно высокая ресурсоемкость способа связана с возможностью его ложного срабатывания, что может привести к необоснованному увеличению вычислительного ресурса на изменение конфигурации параметров вычислительной сети.

Известен «Способ защиты вычислительных сетей» по патенту РФ № 2716220 МПК G06F 21/60, H04L 29/06 опубл. 06.03.2020 г. Известный способ включает следующую последовательность действий. Подключают сетевые устройства к вычислительной сети. Формируют DHCP-сервером для сетевых устройств вычислительной сети параметры синхронизации установленного часового пояса и времени, назначенные IP-адреса и время их аренды, номер подсети. Затем устанавливают сетевые соединения между сетевыми устройствами вычислительной сети. После приема из канала связи пакета сообщения, выделяют из заголовка принятого пакета сообщения идентификатор информационного потока. В случае, если идентификатор информационного потока и IP-адрес отправителя пакета сообщения является несанкционированным, формируют и направляют сетевым устройствам от DHCP-сервера ответные сообщения, содержащие новый номер подсети, IP-адреса для новой подсети, их время продолжительности аренды для новой подсети, следующий номер подсети, IP-адрес DHCP-сервера, параметры синхронизации установленного часового пояса и времени.

Недостатком данного способа является его относительно низкая результативность защиты, обусловленная высокими возможностями нарушителя по обнаружению факта использования средств защиты вычислительной сети и идентификации их характеристик. Это обусловлено тем, что после синхронного изменения сетевых параметров устройств исходной подсети на сетевые параметры в новой подсети, в исходной подсети, где ранее был организован сетевой информационный обмен, таковой будет отсутствовать и не останется активных IP-адресов сетевых устройств. Данное обстоятельство может привести к компрометации используемых средств защиты и идентификации их характеристик в случае перехвата сетевого трафика или сетевого сканирования вычислительной сети нарушителем, а также к изменению нарушителем стратегии вредоносного воздействия.

Наиболее близким по своей технической сущности к заявленному, способом-прототипом является «Способ защиты вычислительных сетей» по патенту РФ № 2789810 МПК G06F 21/60, N04L, 9/40 опубл. 10.02.2023 г. Известный способ-прототип включает следующую последовательность действий. В течение заданного времени считывают параметры сетевого трафика в защищаемой подсети и вычисляют его показатель самоподобия. В случае обнаружения несанкционированных информационных потоков завершают аренду ранее назначенных сетевых параметров сетевых устройств в исходной подсети. После чего задают в исходной подсети сетевое устройство для формирования и направления ложного сетевого трафика. Затем формируют и назначают новые сетевые параметры в новой подсети всем сетевым устройствам, кроме заданного сетевого устройства для формирования и направления ложного сетевого трафика. Затем сравнивают вычисленный показатель самоподобия сетевого трафика с множеством требуемых его значений. В случае их несоответствия формируют и направляют в исходную подсеть ложный трафик с полностью случайными параметрами. В ином случае формируют для каждого из параметров сетевого трафика математические модели, в соответствии с которыми формируют и направляют в течение заданного времени в исходную подсеть информационные потоки самоподобного сетевого трафика. По истечении заданного времени направления в исходную подсеть ложного сетевого трафика назначают заданному для этого сетевому устройству новые сетевые параметры в новой подсети.

Недостатком способа-прототипа является его относительно низкая результативность защиты, обусловленная высокими возможностями нарушителя по обнаружению факта использования средств защиты вычислительной сети и идентификации их характеристик. Это обусловлено тем, что формирование ложного сетевого трафика в случае несоответствия вычисленного показателя самоподобия сетевого трафика с множеством требуемых его значений осуществляется с полностью случайными параметрами, либо в противном случае в соответствии с математическими моделями самоподобного сетевого трафика. Данное обстоятельство при формировании ложного сетевого трафика в соответствии с математическими моделями самоподобного сетевого трафика приводит к наличию значительной автокорреляционной связи между моментами времени направления пакетов ложного сетевого трафика, что может привести к компрометации используемых средств защиты и идентификации их характеристик в случае перехвата и анализа динамических характеристик сетевого трафика нарушителем, а также к изменению нарушителем стратегии вредоносного воздействия.

Целью заявленного технического решения является разработка способа защиты вычислительных сетей, обеспечивающего повышение результативности защиты за счет снижения возможностей нарушителя по компрометации средств защиты и его введения в заблуждение.

Это достигается формированием ложного сетевого трафика в исходной подсети после изменения текущих параметров сетевых устройств на новые параметры в новой подсети с динамическими характеристиками.

Поставленная цель достигается тем, что в известном способе защиты вычислительных сетей предварительно задают IP={IP₁, IP₂,…,IP_n} множество IP-адресов сетевых устройств вычислительной сети, являющихся DHCP-клиентами DHCP-сервера, где n - максимальное допустимое значение количества IP-адресов сетевых устройств вычислительной сети. Далее задают подмножества d во множестве IP-адресов сетевых устройств вычислительной сети IP^d={IP^d₁, IP^d₂,…, IP^d_n}, где d - номер подсети DHCP-сервера, d=1, 2… z, где z - максимальное количество подсетей, для каждого подмножества После этого задают IP-адреса DHCP-серверов IP^d _dhcp, где IP^d _dhcp - IP-адрес DHCP-сервера, . Затем предварительно задают массив памяти D=[l, 2,…, z] для хранения номеров подсетей DHCP-сервера и t^d _max- максимальное значение времени аренды всех IP-адресов подсети с номером Далее задают C={CIP₁, CIP₂,…, CIP_m} множество соединений между сетевыми устройствами вычислительной сети, где CIP_m - идентификатор соединения между сетевыми устройствами вычислительной сети, который содержит в себе IP-адрес отправителя с, и получателя тип протокола взаимодействия, порты взаимодействия, где m - максимальное допустимое количество соединений между сетевыми устройствами вычислительной сети. Далее предварительно задают массив памяти C_i=[CIP₁, CIP₂,…, CIP_m] для хранения идентификаторов CIP_m и множество идентификаторов санкционированных информационных потоков TS≥1. После этого предварительно задают MAC-{MAC₁, МАС₂,…, MAC₁} множество МАС-адресов сетевых устройств вычислительной сети, где l - максимальное количество сетевых устройств в вычислительной сети. Далее задают массив памяти N_A для хранения матрицы соответствия n- му IP-адресу сетевого устройства из множества IP-адресов l-го МАС-адреса из массива памяти MAC После этого задают FIP^d={FIP^d₁, FIP^d₂,…, FIP^d_f -множество IP-адресов ложных абонентов подсети d, где f - максимальное допустимое количество IP-адресов сетевых устройств подсети d. Далее задают время t_d направления ложного сетевого трафика в подсеть. Затем подключают сетевые устройства к вычислительной сети. После чего направляют с сетевых устройств вычислительной сети сообщения DHCP-серверу для получения параметров синхронизации установленного часового пояса и времени, номера подсети d, IP-адресов IP^d и времени их аренды, IP-адреса DHCP-сервера IP^d _dhcp. Далее принимают DHCP-сервером сообщения от сетевых устройств вычислительной сети. Затем формируют для сетевых устройств сообщения, содержащие параметры синхронизации установленного часового пояса и времени, назначенные номер подсети d, IP-адреса IP^d и время их аренды, IP-адрес DHCP-сервера IP^d _dhcp.После чего направляют сформированные сообщения сетевым устройствам вычислительной сети. Затем принимают каждым сетевым устройством вычислительной сети сообщение от DHCP-сервера. Далее направляют от сетевых устройств вычислительной сети ответные сообщения DHCP-серверу, подтверждающие его выбор. Затем принимают DHCP-сервером сообщения от сетевых устройств вычислительной сети, подтверждающие его выбор. После чего задают сетевым устройством вычислительной сети параметры синхронизации установленного часового пояса и времени, назначенные номер подсети d, IP-адреса IP^d и время их аренды, для DHCP-сервера IP-адрес IP^d _dhcp.Далее устанавливают соответствие MAC- и IP-адресов. Затем запоминают соответствие MAC- и IP-адресов в массиве памяти После чего удаляют из массива памяти N_A, те соответствия сетевых устройств вычислительной сети, от которых не получили сообщения, подтверждающие их выбор. Затем устанавливают соединения между сетевыми устройствами вычислительной сети. Далее назначают установленным соединениям между сетевыми устройствами вычислительной сети идентификаторы CIP_m. Затем запоминают идентификаторы CIP_m в массиве памяти С После чего принимают из канала связи пакет сообщения. Далее выделяют из заголовка принятого пакета сообщения идентификатор информационного потока. Затем сравнивают его с идентификаторами санкционированных информационных потоков TS и при совпадении выделенного идентификатора информационного потока с идентификаторами санкционированных информационных потоков TS, передают пакет сообщений получателю, после этого принимают из канала связи следующий пакет сообщения. В случае несовпадения выделенного идентификатора с идентификаторами санкционированных информационных потоков сравнивают IP-адрес получателя в принятом пакете сообщений с предварительно заданными ложными IP-адресами абонентов вычислительной сети FIP. При несовпадении IP-адреса получателя в принятом пакете сообщений с предварительно заданными ложными IP-адресами абонентов FIP, игнорируют пакет сообщений. При совпадении IP-адреса получателя в принятом пакете сообщений с предварительно заданными ложными IP-адресами абонентов FIP, сравнивают IP-адрес отправителя пакетов сообщений с каждым IP-адресом сетевого устройства вычислительной сети из множества IP^d. В случае их совпадения исключают MAC-адрес сетевого устройства из массива N_A DHCP-сервера. В случае их несовпадения считывают DHCP-сервером из массива D следующий d=d+1 номер подсети. После этого формируют для сетевых устройств сообщения, содержащие новые параметры синхронизации установленного часового пояса и времени, номер подсети d=d+1, IP-адреса IP^(d+1) и время их аренды t^(d+1)_max, DHCP-серверу IP-адрес IP^(d+1)_dhcp.Затем направляют с DHCP-сервера сетевым устройствам вычислительной сети сформированные сообщения, содержащие новые параметры синхронизации установленного часового пояса и времени, номер подсети d/=d+1, IP-адреса IP^(d+1) и время их аренды t^(d+1)_max. Далее принимают каждым сетевым устройством вычислительной сети сообщения, содержащие новые параметры синхронизации установленного часового пояса и времени, номер подсети d=d+1, IP-адреса IP^(d+1) и время их аренды t^(d+1)_max. Затем задают в подсети d сетевое устройство для формирования и направления информационных потоков ложного сетевого трафика в этой подсети. После этого задают сетевым устройствам подсети d, кроме сетевого устройства для формирования и направления информационных потоков ложного сетевого трафика, параметры синхронизации установленного часового пояса и времени, номер подсети d=d+1, IP-адреса IP^(d+1) и время их аренды t^(d+1)max. Затем задают IP-адрес IP^(d+1) _dhcp для DHCP-сервера. После чего вновь формируют массив памяти для хранения матрицы соответствия MAC- и IP-адресов сетевых устройств вычислительной сети. Затем задают сетевому устройству с которого осуществлялось формирование и направление ложного сетевого трафика в подсеть d новые параметры синхронизации установленного часового пояса и времени, номер подсети d=d+1, IP-адрес IP^(d+1) и время его аренды t^(d+1)_max, IP-адрес выбранного DZZCP-сервера IP^(d+1)_dhcp.После чего вновь формируют массив памяти N_A для хранения матрицы соответствия MAC- и IP-адресов сетевых устройств в подсети d=d+1 с учетом появившегося из подсети d сетевого устройства, с которого осуществлялось формирование и направление ложного сетевого трафика. Далее дополнительно задают t - счетчик времени, содержащий значение текущего времени. Затем дополнительно задают t_st- счетчик времени, содержащий значение времени подключения сетевых устройств к подсети. После чего дополнительно задают t_train- - промежуток времени, после которого необходимо провести перенастройку параметров математической модели. Затем дополнительно задают b_st - счетчик количества перенастроек параметров математической модели. После чего дополнительно задают V - длину считываемого временного ряда T_del задержек τ^del между пакетами сетевого трафика вычислительной сети d, где Tdel={τ^de_l1, τ^del₂,…, τ^del_V} - временной ряд задержек между пакетами сетевого трафика длиной V вычислительной сети d. Далее дополнительно задают Mz=[τ^del1, τ^del2,…,. τ^del_V] - массив памяти для хранения временного ряда T_del задержек t^del между пакетами сетевого трафика длиной V вычислительной сети Затем дополнительно задают W-количество генерируемых в вычислительной сети d пакетов ложного сетевого трафика. После чего дополнительно задают M_k=[τ^gen₁, τ^gen₂,…, τ^gen_W^] массив памяти для хранения вычисленных значений временного ряда T_gen задержек τ^gen длиной W между моментами времени генерации ложного сетевого трафика вычислительной сети d, где T_gen-{τ^gen₁, τ^gen₂,…, τ^gen_W}, временной ряд задержек τ^gen между моментами времени генерации ложного сетевого трафика длиной W вычислительной сети d. Далее дополнительно задают I - порядок интегрирования математической модели. После чего дополнительно задают M_int-[Δτ^del(I)₁, Δτ^del(I)₂,…, Δτ^del(I)_V-I] - массив памяти для хранения проинтегрированного временного ряда Δ^IT_del порядка I задержек между пакетами сетевого трафика длиной V вычислительной сети d, где Δ^IT_del={Δτ^del(I)₁, Δτ^del(I)₂,…, Δτ^del(I)_V-I} - проинтегрированный временной ряд порядка I задержек между пакетами сетевого трафика длиной V-7 вычислительной сети Далее дополнительно задают M^gen _int=[A^gen(I)₁, A^gen(I)2,...,A^gen(I)_W-I]-массив памяти для хранения вычисленных значений проинтегрированного временного ряда Δ^IT_gen порядка I задержек между пакетами ложного сетевого трафика длиной W-I вычислительной сети d, где Δ^IT_gen={Δτ^gen(I)₁, Δτ^gen(I)₂,…, Δτ^gen(I)_W-I} -проинтегрированный временной ряд порядка I задержек между пакетами ложного сетевого трафика длиной W-I вычислительной сети d. После чего дополнительно задают R_max - максимальное значение порядка авторегрессии математической модели, определяющее мощность допустимого множества P_mod параметров авторегрессии математической модели, где P_mod={p₁,…,p_Rmax}- допустимое множество параметров авторегрессии математической модели. Далее дополнительно задают J_max - максимальное значение порядка скользящего среднего математической модели, определяющее мощность допустимого множества Q_mod параметров скользящего среднего математической модели, где Q_mod={q1,…, qj_max}-допустимое множество параметров скользящего среднего математической модели. Затем дополнительно задают α_st - уровень значимости для выбора критического значения критерия K*_st стационарности временного ряда. Далее дополнительно задают - критическое значение критерия K_st, стационарности временного ряда для уровня значимости α_st,. После чего дополнительно задают M_A=[IС₁,IС₂,…,IC_Vk]- массив памяти для хранения вычисленных значений критерия IС выбора порядка математической модели для различных комбинаций значений порядка модели R и J, где максимальное количество комбинаций V_k параметров порядка модели определяется как V_k=R_max, J_max. После чего дополнительно задают M_p=[[p*₁, р*₂,…, p*_R*], [d₁, d₂,…, d*_j*]] -массив памяти для хранения оптимальных значений параметров авторегрессии и скользящего среднего математической модели, где R*, J*-оптимальные значения порядка авторегрессии и скользящего среднего математической модели, соответствующие минимальному значению критерия выбора порядка математической модели IC для различных комбинаций значений порядка модели R и J. Далее после запоминания идентификаторов CIP_m в массиве памяти С, считывают временной ряд T_del задержек τ^del' между пакетами сетевого трафика длиной V вычислительной сети d. Затем запоминают временной ряд T_del задержек τ^del между пакетами сетевого трафика длиной V вычислительной сети d в массиве памяти M_z. После чего вычисляют значение критерия стационарности временного ряда задержек между пакетами сетевого трафика вычислительной сети d. Затем сравнивают значение критерия стационарности K_st, с его критическим значением K*_st,. В случае если условие K_st>K* _st, выполняется, что соответствует сетевому трафику, не обладающему свойством стационарности, то увеличивают значение порядка интегрирования 7 математической модели на единицу, вычисляют проинтегрированный временной ряд Δ^IT_del порядка 7 задержек между пакетами сетевого трафика длиной V. Затем запоминают проинтегрированный временной ряд Δ^IT_del порядка I в массиве памяти M_int. После чего вычисляют значение критерия стационарности K_st, проинтегрированного временного ряда Δ^IT_del порядка I. В случае если условие K_st>K*_st не выполняется, что соответствует сетевому трафику, обладающему свойством стационарности, то вычисляют значения критерия IC выбора порядка математической модели для всех комбинаций параметров порядка модели R, J. Затем запоминают вычисленные значения критерия IC в массиве памяти M_A. После чего вычисляют значения оптимальных параметров математической модели Р*_моd и Q*_mod, где Р*_mod={р*₁,…,р*_R*}-множество оптимальных параметров авторегрессии математической модели, Q*mod={q*₁,…,q*_j*}-множество оптимальных параметров скользящего среднего математической модели. Затем запоминают вычисленные значения параметров математической модели Р*_mod и Q*_mod в массиве памяти Mp. После чего сравнивают значение счетчика порядка интегрирования I с нулем. В случае если условие I>0 не выполняется, то вычисляют значения интервалов задержек τ^gen временного ряда T_gen между пакетами ложного сетевого трафика между сетевыми устройствами вычислительной сети с номером d. В случае если условие I>0 выполняется, то вычисляют проинтегрированный временной ряд Δ^IT_gen порядка I. Затем запоминают вычисленный проинтегрированный временной ряд Δ^IT_gen порядка I в массиве памяти M^gen _int. Далее вычисляют из проинтегрированного временного ряда Δ^IT_gen порядка I значения интервалов задержек τ^gen временного ряда T_gen между пакетами ложного сетевого трафика между сетевыми устройствами вычислительной сети с номером d. Затем запоминают вычисленные значения интервалов задержек τ^gen временного ряда T_gen между пакетами сетевого трафика вычислительной сети с номером d в массиве памяти M_k Далее после формирования массива памяти N_A для хранения матрицы соответствия MАС- и IP-адресов сетевых устройств вычислительной сети направляют сформированный ложный сетевой трафик с интервалами задержки τ^gen из временного ряда T_gen между пакетами в исходную подсеть d. Затем в случае если условие t-t_st>(b_st+1)⋅t_train выполняется, что соответствует истечению промежутка времени перенастройки параметров математической модели, то увеличивают значение счетчика количества перенастроек параметров математической модели на единицу, считывают временной ряд T_del задержек τ^del между пакетами сетевого трафика длиной V вычислительной сети d. Далее в случае если условие t-t_st>(b_st+1)⋅t_train не выполняется, что свидетельствует об отсутствии необходимости перенастройки параметров математической модели, то сравнивают промежуток времени t - t_st с момента времени t_st до текущего момента времени t с временем t_d генерации ложного сетевого трафика вычислительной сети. После чего в случае если условие t - t_st,>t_d не выполняется, то направляют сформированный ложный сетевой трафик с интервалами задержки τ^gen из временного ряда T_gen между пакетами в исходную подсеть d. В случае если условие t - t_st>t_d выполняется, то уменьшают значение порядка интегрирования 7 временного ряда до нуля. Затем уменьшают значение счетчика b_st количества перенастроек параметров математической модели до нуля. После чего завершают направление ложного сетевого трафика в исходную подсеть d.

В качестве критерия K_st проверки стационарности временного ряда выбирают расширенный тест Дики-Фуллера.

Значение уровня значимости α_st при определении критического значения критерия K*_st проверки стационарности выбирают равным 0,05.

В качестве критерия IC выбора порядка авторегрессии и скользящего среднего математической модели выбирают информационный критерий Акаике.

В качестве метода вычисления значений оптимальных параметров Р*_mod и Q*_mod математической модели выбирают метод максимального правдоподобия.

В качестве метода вычисления проинтегрированного временного ряда Δ^IT_del выбирают взятие конечных разностей между соседними значениями временного ряда T_del, то есть Δτ^del(I)_t=del(I)t+1-τ^del(I)_t.

Максимальное значение порядка авторегрессии R_max математической модели задают равным 5.

Максимальное значение порядка скользящего среднего J_max математической модели задают равным 5.

Благодаря новой совокупности существенных признаков в заявленном способе обеспечивается повышение результативности защиты за счет снижения возможностей нарушителя по компрометации средств защиты и его введения в заблуждение. Это достигается формированием в соответствии с математической моделью авторегрессии скользящего среднего (от англ. Autoregressive Integrated Moving Average - ARIMA) и направлением ложного сетевого трафика в исходной подсети с динамическими характеристиками, свойственными реальному сетевому трафику, после изменения текущих параметров сетевых устройств на новые параметры в новой подсети.

Заявленные объекты изобретения поясняются чертежами, на которых показаны:

фиг. 1 - Схема защищаемой вычислительной сети с использованием устройства для формирования и направления в сеть ложного сетевого трафика;

фиг. 2а - Блок-схема последовательности действий, реализующих заявленный способ защиты вычислительных сетей;

фиг. 2б - Блок-схема последовательности действий, реализующих заявленный способ защиты вычислительных сетей.

фиг. 3 - Идентификация математической модели ARIMA и нелинейного осциллятора Ван Дер Поля, сравнение качества имитации динамических характеристик реального сетевого трафика при генерации ложного сетевого трафика с использованием осциллятора Ван дер Поля и модели ARIMA, где: а) временные ряды промежутков времени между пакетами реального сетевого трафика T_del, а также между пакетами ложного сетевого трафика T_gen при генерации временных рядов с использованием осциллятора Ван Дер Поля и модели АRIMA; б) автокорреляционные функции временных рядов T_del и T_gen; в) иллюстрация структурной идентификации модели ARIMA по информационному критерию Акаике с фиксированным порядком интегрирования (I=0).

Реализация заявленного способа объясняется следующим образом. В настоящее время в состав мер защиты информации в государственных информационных системах включены: сокрытие архитектуры и конфигурации информационных систем; создание (эмуляция) ложных информационных систем или их компонентов; перевод информационной (автоматизированной) системы в безопасное состояние при возникновении отказов (сбоев), что приведено, например, в Приказе ФСТЭК России от 25 декабря 2017 г. «Об утверждении Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации (в ред. приказов ФСТЭК России от 9 августа 2018 г. № 138, от 26 марта 2019 г. № 60, от 20 февраля 2020 г. № 35)» на стр. 35.

Это обусловлено тем, что наряду с угрозами безопасности информации, связанными с осуществлением несанкционированного воздействия на информационные системы, компонентами которых являются вычислительные сети, достаточно большое количество компьютерных атак носит разведывательный характер с целью получения информации о составе, структуре и алгоритмах функционирования, местоположении и принадлежности информационных систем. В частности, на реконструкцию структурно-функциональных характеристик информационных систем нацелена угроза определения топологии вычислительных сетей, реализуемая средствами сетевой разведки нарушителя посредством сетевого сканирования и анализа сетевого трафика. Задачи сетевой разведки включают в себя идентификацию топологии вычислительных сетей, определение относительной важности их узлов, что может быть использовано нарушителем для реализации спланированных APT-атак (от англ. advanced persistent threat -«развитая устойчивая угроза», целевая компьютерная атака), которые известны и описаны, например, в статье Левцов В., Демидов, Н. Анатомиятаргетированной атаки, часть 1, Информационная безопасность, 2016, № 2, на стр. 36-39.

Одним из методов реализации перечисленных выше мер защиты информационных систем от сетевой разведки является формирование ложного сетевого трафика, под которым понимают совокупность ложных (маскирующих) пакетов сообщений, формируемых с целью создания у нарушителя устойчивых ложных стереотипов о составе, структуре и алгоритмах функционирования информационных систем, что известно и описано, например, в статье Соколовский С.П., Теленьга А.П. Методика формирования ложного сетевого трафика информационных систем для защиты от сетевой разведки, Вестник компьютерных и информационных технологий, 2022, т. 19, № 2, на стр. 40-47.

Генерация ложного сетевого трафика осуществляется на основе характеристик реального сетевого трафика, которая выполняется специально назначенным узлом вычислительной сети. Для обеспечения правдоподобия ложного сетевого трафика его статистические свойства аппроксимируются математической моделью, для синтеза которой применяют метод, который известен и описан, например, в книге Давыдов А.Е. Защита и безопасность ведомственных интегрированных инфокоммуникационных систем, Москва: Воентелеком, 2015, 520 с. В соответствии с этим методом для каждого из выбранных параметров сетевого трафика подбирают коэффициенты a и b уравнения нелинейного осциллятора Ван дер Поля описанного, например, в статье J. He, J. Cai Design of a New Chaotic System Baced on Van Der Pol Oscillator and Its Encryption Application, Mathematics, 2079, 7, 743 таким образом, чтобы показатель Херста H_s синтезированного временного ряда совпадал с заданной точностью с показателем Херста H_c реального сетевого трафика. Тем не менее, генерирование ложного сетевого трафика с использованием уравнения нелинейного осциллятора Ван дер Поля может быть скомпрометировано средствами анализа аномалий сетевого трафика, так как полученный на основе осциллятора временной ряд имеет регулярный периодический характер с выраженной автокорреляционной зависимостью между значениями элементов временного ряда (см. фиг. 3 а, б).

Заявленный способ реализуют следующим образом. В общем случае (см. фиг. 1) подсеть представляет собой совокупность корреспондентов 100, DHCP-сервера 101, являющихся источниками и получателями сетевого трафика, анализатора пакетов 102 для составления отчетов, периферийного и коммуникационного оборудования 103, устройства для формирования и направления в подсеть ложного сетевого трафика 104.

Для защиты вычислительной сети и введения в заблуждение нарушителя 105 относительно структуры вычислительной сети, осуществляют периодическую смену IP-адресов и других сетевых параметров ее сетевых устройств в рамках нескольких подсетей, а для введения в заблуждение нарушителя относительно применения средств защиты осуществляют формирование и направление в исходную подсеть ложного сетевого трафика.

На фиг. 2а, 26 представлена блок-схема последовательности действий, реализующих заявленный способ защиты вычислительных сетей, в которой приняты следующие обозначения:

IP^d={IP^d₁, IP^d2,…, IP^d_n,;} - подмножества во множестве IР-адресов сетевых устройств вычислительной сети;

IP-{IP₁, IP₂,…, IP_n} - множество IP-адресов сетевых устройств вычислительной сети, являющихся клиентами DHCP-сервера;

n - максимальное допустимое значение количества IP-адресов сетевых устройств вычислительной сети;

d- номер подсети DHCP-сервера, d=1,2,…, z;

z - максимальное количество подсетей;

IP^d _dhcp- IP-адрес DHCP-сервера,

t^d _max - максимальное значение времени аренды всех IP-адресов подсети с номером d;

CIP_m - идентификатор соединения между сетевыми устройствами вычислительной сети, который содержит в себе IP-адрес отправителя - с, получателя - тип протокола взаимодействия, порты взаимодействия;

m - максимальное допустимое количество соединений между сетевыми устройствами вычислительной сети;

C_i=[CIP₁, CIP₂,…, CIP_m] - массив памяти для хранения идентификаторов CIP_m;

TS - множество идентификаторов санкционированных информационных потоков;

NA=[[IP₁, IP₂,…, IP_n], [MAC₁, MAC₂,…, MAC_l]] - массив памяти для хранения матрицы соответствия n-му IP-адресу сетевого устройства из множества IP-адресов l-го MAC-адреса из массива памяти MAC;

FIP^d=fFIP^d1, FIP^d2,…, FIP^d_f} - множество IР-адресов ложных абонентов вычислительной сети d;

ƒ - максимальное допустимое количество IР-адресов сетевых устройств подсети d;

t - счетчик времени, содержащий значение текущего времени;

t_st - счетчик времени, содержащий значение времени подключения сетевых устройств к подсети;

t_train - промежуток времени после которого необходимо провести перенастройку параметров математической модели ARIMA;

t_d- время направления ложного сетевого трафика в подсеть d;

b_st- счетчик количества перенастроек параметров математической модели АRIMА, b_st-0 - начальное значение счетчика количества перенастроек параметров математической модели ARIMA;

T_del={τ^del1, τ^del₂,…, τ^del_V} - временной ряд задержек между пакетами сетевого трафика длиной V вычислительной сети d;

V- длина считываемого временного ряда T_del задержек τ^del между пакетами сетевого трафика вычислительной сети d;

Mz=[τ^del₁, τ^del₂,… τ^del_V] - массив памяти для хранения временного ряда T_del задержек τ^del между пакетами сетевого трафика длиной V вычислительной сети d;

T_gen-{τ^gen₁, τ^gen₂,…, τ^gen_W} - временной ряд задержек г^gen между моментами времени генерации ложного сетевого трафика длиной W вычислительной сети d;

M_k=[τ^gen₁, τ^gen2,…,τ^gen_W}, - массив памяти для хранения вычисленных

значений временного ряда T_gen задержек τ^gen длиной W между моментами времени генерации ложного сетевого трафика вычислительной сети d;

W - количество генерируемых в вычислительной сети d пакетов ложного сетевого трафика;

I - порядок интегрирования математической модели ARIMA, где I=0 - начальное значение порядка интегрирования математической модели ARIMA;

M_int={Δτ^del(I)₁, Δτ^del(I)₂,…, Δτ^del(I)_V-1] - массив памяти для хранения проинтегрированного временного ряда Δτ^IT_del порядка I задержек между пакетами сетевого трафика длиной V-I вычислительной сети d;

ΔIT_del={Δτ^del(I)₁, Δτ^del(I)₂,…,Δτ^del(I)_V-I} - проинтегрированный временной ряд порядка I задержек между пакетами сетевого трафика длиной V-I вычислительной сети d;

M^gen_int=[Δτ^gen(I)₁, A^gen(I)2,…, Δτ^gen(I)_W-1} - массив памяти для хранения вычисленных значений проинтегрированного временного ряда Δ^IT_gen порядка I задержек между пакетами ложного сетевого трафика длиной W-I вычислительной сети d;

Δ^IT_gen={Δτ^gen(I) ₁, Δτ^gen(I)₂,…, Δτ^{gen (I)}_W-I} - проинтегрированный временной ряд порядка I задержек между пакетами ложного сетевого трафика длиной W-I вычислительной сети d;

R - значение порядка авторегрессии математической модели ARIMA;

J - значение порядка скользящего среднего математической модели ARIMA;

K_st - критерий стационарности временного ряда;

K*_st - критическое значение критерия K_st стационарности временного ряда для уровня значимости ca α_st;

α_st - уровень значимости для выбора критического значения критерия K*_st стационарности временного ряда;

IC - критерий выбора порядка математической модели ARIMA;

M_A=[IC1,IC2,…,IC_Vk] - массив памяти для хранения вычисленных значений критерия IС выбора порядка математической модели для различных комбинаций значений порядка модели R и J;

Vk=R_max⋅J_max- - максимальное количество комбинаций V_k параметров порядка модели ARIMA;

R_max - максимальное значение порядка авторегрессии математической модели ARIMA, определяющее мощность допустимого множества P_mod параметров авторегрессии математической модели ARIMA;

P_mod={p1,p2,…,p_Rmax} - допустимое множество параметров авторегрессии математической модели ARIMA;

р*_mod={p*₁.,p*₂…, р*_R*} - множество оптимальных параметров авторегрессии математической модели АRIMА;

J_max - максимальное значение порядка скользящего среднего математической модели ARIMA, определяющее мощность допустимого множества параметров скользящего среднего математической модели ARIMA;

Q_mod={q1q2,…,. q_jmax}- допустимое множество параметров скользящего среднего математической модели ARIMA;

Q*_mod={q*₁, q*₂,…, q*_j*}- множество оптимальных параметров скользящего среднего математической модели ARIMA;

M_p-[[p*₁, р*₂,…, р*_R*], [q*₁,q*₂,…, q*_j*]] - массив памяти для хранения оптимальных значений параметров математической модели ARIMA;

R* - оптимальное значение порядка авторегрессии математической модели ARIMA;

J* - оптимальное значение порядка скользящего среднего математической модели ARIMA.

Для повышения результативности защиты, за счет снижения возможностей нарушителя по компрометации средств защиты и введения нарушителя в заблуждение, в предварительно заданные исходные данные дополнительно задают (см. блок 1 на фиг. 2а) значение счетчика текущего времени t, необходимого для реализации цикла перенастройки параметров устройства для формирования и направления в подсеть ложного сетевого трафика 104.

Затем в предварительно заданные исходные данные дополнительно задают (см. блок 1 на фиг. 2а) значение счетчика времени t_st подключения сетевых устройств к подсети, необходимого для своевременной перенастройки параметров устройства для формирования и направления в подсеть ложного сетевого трафика 104 и завершения направления в подсеть ложного трафика.

После этого в предварительно заданные исходные данные дополнительно задают (см. блок 1 на фиг. 2а) значение промежутка времени t_train, после которого необходимо провести перенастройку параметров математической модели ARIMA с целью адаптивного изменения свойств ложного сетевого трафика.

Далее в предварительно заданные исходные данные дополнительно задают (см. блок 1 на фиг. 2а) значение счетчика b_st количества перенастроек параметров математической модели ARIMA, необходимого для завершения направления в подсеть ложного трафика.

После чего в предварительно заданные исходные данные дополнительно задают (см. блок 1 на фиг. 2а) длину V считываемого временного ряда T_del задержек τ^del между пакетами сетевого трафика вычислительной сети d, необходимых для идентификации математической модели ARIMA.

Затем в предварительно заданные исходные данные дополнительно задают (см. блок 1 на фиг. 2а) массив памяти M_z для хранения временного ряда T_del задержек τ_del между пакетами сетевого трафика длиной V вычислительной сети d, необходимого для идентификации математической модели ARIMA.

Далее в предварительно заданные исходные данные дополнительно задают (см. блок 1 на фиг. 2а) количество W генерируемых в вычислительной сети d пакетов ложного сетевого трафика, необходимого для определения режима формирования ложного сетевого трафика устройством 104.

После чего в предварительно заданные исходные данные дополнительно задают (см. блок 1 на фиг. 2а) массив памяти M_k для хранения вычисленных значений временного ряда T_gen задержек длиной W между моментами времени генерации ложного сетевого трафика вычислительной сети d, необходимого для определения режима формирования ложного сетевого трафика устройством 104.

Затем в предварительно заданные исходные данные дополнительно задают (см. блок 1 на фиг. 2а) порядок интегрирования I математической модели, необходимого для структурной идентификации математической модели ARIMA.

Далее в предварительно заданные исходные данные дополнительно задают (см. блок 1 на фиг. 2а) массив памяти M_int для хранения проинтегрированного временного ряда Δ^IT_del порядка I задержек между пакетами сетевого трафика длиной V вычислительной сети d, необходимого для идентификации математической модели ARIMA в условиях нестационарного временного ряда T_del.

После чего в предварительно заданные исходные данные дополнительно задают (см. блок 1 на фиг. 2а) массив памяти M^gen_int для хранения вычисленных значений проинтегрированного временного ряда Δ^IT_gen порядка 7 задержек между пакетами ложного сетевого трафика длиной вычислительной сети d, необходимого для формирования ложного сетевого трафика устройством 104.

Затем в предварительно заданные исходные данные дополнительно задают (см. блок 1 на фиг. 2а) максимальное значение R_max порядка авторегрессии математической модели ARIMA, необходимое для структурной идентификации математической модели ARIMA.

Далее в предварительно заданные исходные данные дополнительно задают (см. блок 1 на фиг. 2а) максимальное значение J_max порядка скользящего среднего математической модели, необходимое для структурной идентификации математической модели ARIMA.

После чего в предварительно заданные исходные данные дополнительно задают (см. блок 1 на фиг. 2а) уровень значимости для выбора критического значения критерия K*, стационарности временного ряда с целью определения стационарности временного ряда и структурной идентификации математической модели ARIMA.

Затем в предварительно заданные исходные данные дополнительно задают (см. блок 1 на фиг. 2а) критическое значение K*_st, критерия стационарности временного ряда для уровня значимости α_st с целью определения стационарности временного ряда и структурной идентификации математической модели ARIMA.

Далее в предварительно заданные исходные данные дополнительно задают (см. блок 1 на фиг. 2а) массив памяти M_A для хранения вычисленных значений критерия IC выбора порядка математической модели для различных комбинаций значений порядка модели R и J, необходимого для структурной идентификации математической модели ARIMA.

После чего в предварительно заданные исходные данные дополнительно задают (см. блок 1 на фиг. 2а) массив памяти M_P для хранения оптимальных значений параметров авторегрессии и скользящего среднего математической модели, необходимого для параметрической идентификации математической модели ARIMA.

Затем подключают (см. блок 2 на фиг. 2а) сетевые устройства к вычислительной сети и после их инициализации направляют (см. блок 3 на фиг. 2а) с сетевых устройств вычислительной сети сообщения DHCP-серверу для получения параметров синхронизации установленного часового пояса и времени, номера подсети d, IP-адресов IP^d и времени их аренды, IP-адреса DHCP-сервера IP^d_dhcp.Схема протокольного обмена сообщениями между сетевыми устройствами и DHCP-сервером известна и описана, например, в технических спецификациях (RFC, Request for Comments) сети Интернет (см., например, https://tools.ietf.org/html/rfc2131).

После этого принимают (см. блок 4 на фиг. 2а) DHCP-сервером с IP-адресом IP^d_dhcp сообщения от сетевых устройств вычислительной сети.

Затем формируют (см. блок 5 на фиг. 2а) для сетевых устройств сетевых устройств сообщения, содержащие параметры синхронизации установленного часового пояса и времени, назначенные номер подсети d, IP-адреса IP^d и время их аренды, IP-адрес DHCP-сервера IP^d_dhcp.Необходимость синхронизации установленного часового пояса и времени возникает в случае, когда время сервера и сетевых устройств вычислительной сети различается, при этом сервер может счесть аренду завершившейся раньше, чем это сделает сетевое устройство. Синхронизация осуществляется путем установки общего часового пояса и времени DHCP-сервера и сетевых устройств вычислительной сети.

Далее направляют (см. блок 6 на фиг. 2а) DHCP-сервером ответные сообщения, содержащие параметры синхронизации установленного часового пояса и времени, назначенные номер подсети d, IP-адреса IP^d и время их аренды, IP-адрес DHCP-сервера IP^d_dhcp, для обратившихся с запросом сетевых устройств вычислительной сети.

Принимают (см. блок 7 на фиг. 2а) каждым сетевым устройством вычислительной сети сообщения с DHCP-сервера и направляют (см. блок 8 на фиг. 2а) ответные сообщения DHCP-серверу, подтверждающие их выбор этого DHCP-сервера.

После этого принимают (см. блок 9 на фиг. 2а) DHCP-сервером сообщения от сетевых устройств вычислительной сети, подтверждающие их выбор и задают (см. блок 10 на фиг. 2а) устройствам вычислительной сети параметры синхронизации установленного часового пояса и времени, назначенные номер подсети d, IP-адреса IP^d и время их аренды, для DHCP-сервера IP-адрес IP^d _dhcp.

Затем устанавливают (см. блок 11 на фиг. 2а) соответствие MAC- и IP-адресов и запоминают (см. блок 12 на фиг. 2а) это соответствие MAC- и IP-адресов в массиве памяти N_A.

Далее удаляют (см. блок 13 на фиг. 2а) из массива памяти N_A, те соответствия сетевых устройств вычислительной сети, от которых не получили сообщения, подтверждающие их выбор, тем самым исключают выдачу IР-адресов неактивным сетевым устройствам.

После этого устанавливают соединения между сетевыми устройствами вычислительной сети (см. блок 14 на фиг. 2а) и назначают (см. блок 15 на фиг. 2а) установленным соединениям между сетевыми устройствами вычислительной сети идентификаторы CIP_m.

Далее установленные идентификаторы CIP_m запоминают (см. блок 16 на фиг. 2а) в массиве памяти С,.

Затем считывают (см. блок 17 на фиг. 2а) временной ряд T_del задержек τ^del между пакетами сетевого трафика длиной V вычислительной сети d. Исследование свойств временного ряда T_del задержек между пакетами сетевого трафика позволяет синтезировать временные ряды для формирования ложного сетевого трафика с динамическими свойствами близкими к реальному сетевому трафику.

После этого запоминают (см. блок 18 на фиг. 2а) временной ряд T_del задержек τ^del между пакетами сетевого трафика длиной V вычислительной сети d в массиве памяти M_z.

Далее вычисляют (см. блок 19 на фиг. 2а) значение критерия стационарности K_st временного ряда задержек между пакетами сетевого трафика вычислительной сети d Для адекватного моделирования динамических свойств сетевого трафика классическими статистическими моделями временных рядов, в частности моделью ARIMA, необходимо, чтобы моделируемый временной ряд обладал свойством стационарности в узком смысле. Вычисляя критерий стационарности K_st осуществляется проверка гипотезы о стационарности временного ряда.

Затем сравнивают (см. блок 20 на фиг. 2а) значение критерия стационарности K_st, с его критическим значением K*_st, при заданном уровне значимости α_st. В случае если условие K_st>K*_st выполняется, что соответствует сетевому трафику, не обладающему свойством стационарности, то увеличивают (см. блок 21 на фиг. 2а) значение порядка интегрирования I математической модели на единицу.

После чего вычисляют (см. блок 22 на фиг. 2а) проинтегрированный временной ряд Δ^IT_del порядка I задержек между пакетами сетевого трафика длиной V с целью преобразования временного ряда к стационарному виду.

Затем запоминают (см. блок 23 на фиг. 2а) проинтегрированный временной ряд порядка I в массиве памяти M_int

Далее вновь вычисляют (см. блок 19 на фиг. 2а) значение критерия стационарности K_st, проинтегрированного временного ряда порядка I с целью проверки его стационарности.

В случае если условие не выполняется, что соответствует сетевому трафику, обладающему свойством стационарности, то вычисляют (см. блок 24 на фиг. 2а) значения критерия IC выбора порядка математической модели для всех комбинаций параметров порядка модели, с целью проведения структурной идентификации математической модели ARIMA (выбор оптимального порядка авторегрессии R* и скользящего среднего J*).

Затем запоминают (см. блок 25 на фиг. 2а) вычисленные значения критерия IC в массиве памяти M_A.

После чего вычисляют (см. блок 26 на фиг. 2а) значения оптимальных параметров Р*_mod и Q*_mod с целью параметрической идентификации математической модели ARIMA.

Далее запоминают (см. блок 27 на фиг. 2а) вычисленные значения параметров Р*_mod и Q*_mod математической модели ARIMA в массиве памяти M_P.

Затем сравнивают (см. блок 28 на фиг. 2а) значение счетчика порядка интегрирования I с нулем и в случае если условие I>0 не выполняется, то вычисляют (см. блок 31 на фиг. 2а) значения интервалов задержек τ^gen временного ряда T_gen между пакетами ложного сетевого трафика между сетевыми устройствами вычислительной сети с номером d

В случае если условие I>0 выполняется, то вычисляют (см. блок 29 на фиг. 2а) проинтегрированный временной ряд Δ^IT_gen порядка I

Далее запоминают (см. блок 30 на фиг. 2а) вычисленный проинтегрированный временной ряд Δ^IT_gen порядка I в массиве памяти M^gen _int и вычисляют (см. блок 31 на фиг. 2а) из проинтегрированного временного ряда Δ^IT_gen порядка I значения интервалов задержек τ_gen временного ряда T_gen между пакетами ложного сетевого трафика между сетевыми устройствами вычислительной сети с номером d.

После чего запоминают (см. блок 32 на фиг. 2а) вычисленные значения интервалов задержек τ_gen временного ряда T_gen между пакетами сетевого трафика вычислительной сети с номером d в массиве памяти M_k.

Затем принимают (см. блок 33 на фиг. 2б) из канала связи пакет сообщения и выделяют (см. блок 34 на фиг. 2б) из заголовка принятого пакета сообщения идентификатор информационного потока CIP_m.

После этого сравнивают (см. блок 35 на фиг. 2б) его с идентификаторами санкционированных информационных потоков TS для определения возможности дальнейшей передачи пакета адресату.

При совпадении выделенного идентификатора информационного потока CIP_m с идентификатором санкционированных информационных потоков TS передают (см. блок 36 на фиг. 2б) пакет сообщений получателю, а затем принимают (см. блок 33 на фиг. 2б) из канала связи следующий пакет сообщения.

В случае несовпадения выделенного идентификатора CIP_m с идентификаторами санкционированных информационных потоков TS, сравнивают (см. блок 37 на фиг. 2б) IP-адрес получателя в принятом пакете сообщений с предварительно заданными ложными IР-адресами абонентов вычислительной сети FIP^d.

При несовпадении IР-адреса получателя в принятом пакете сообщений с предварительно заданными ложными IР-адресами абонентов FIP^d, игнорируют (см. блок 38 на фиг. 2б) пакет сообщений.

В ином случае, при совпадении IР-адреса получателя в принятом пакете сообщений с предварительно заданными ложными IР-адресами абонентов FIP^d определяют, является ли отправитель пакета сообщений санкционированным абонентом или нарушителем, для этого сравнивают (см. блок 39 на фиг. 2б) IР-адрес отправителя пакетов сообщений с каждым IР-адресом сетевого устройства вычислительной сети из множества IP^d.

В случае их совпадения блокируют IP-адрес отправителя пакетов сообщений, считая его потенциальным нарушителем, для чего исключают (см. блок 40 на фиг. 2б) MAC-адрес данного сетевого устройства из массива памяти N_A DZHCP-сервера, тем самым изолируют нарушителя от дальнейшего информационного обмена в вычислительной сети при последующей реконфигурации сетевых параметров устройств и коммуникационного оборудования вычислительной сети.

В случае же их несовпадения, то есть когда отправитель пакетов сообщений имеет нелегитимный IP-адрес, осуществляют реконфигурацию структурно-функциональных характеристик сетевых устройств вычислительных сети. Для этого считывают (см. блок 41 на фиг. 2б) DHCP-сервером из массива D очередной d=d+1 номер подсети для формирования параметров сетевых устройств в новой подсети, путем увеличения текущего номера сети d на единицу.

Затем формируют (см. блок 42 на фиг. 2б) ответные сообщения DHCP-сервера, содержащие параметры установленного часового пояса и времени, а также новые IP-адреса IP^(d+1), значения t^(d+1) _max, следующий номер подсети d=d+1 и IP-адрес выбранного DHCP-сервера IP^(d+1) _dhcp для каждого из сетевых устройств вычислительной сети. Формирование нового значения времени аренды IР-адресов сетевых устройств вычислительной сети t^(d+1)_max осуществляют для исключения возможности нарушителя вычислить алгоритм перестройки IP-адресов.

Далее направляют (см. блок 43 на фиг. 2б) сформированные сообщения сетевым устройствам вычислительной сети содержащие параметры синхронизации установленного часового пояса и времени, номер подсети d=d+1, IP-адреса IP^(d+1) и время их аренды t^(d+1)max.

Затем принимают (см. блок 44 на фиг. 2б) каждым сетевым устройством вычислительной сети сообщения, содержащие параметры синхронизации установленного часового пояса и времени, номер подсети d=d+1, /Р-адреса IP^(d+1) и время их аренды t^(d+1) max

Далее, для сокрытия факта использования средств защиты и введения нарушителя в заблуждение, задают (см. блок 45 на фиг. 2б) в подсети d сетевое устройство для формирования и направления информационных потоков ложного сетевого трафика в этой подсети.

После этого задают (см. блок 46 на фиг. 2б) сетевым устройствам подсети d, кроме сетевого устройства для формирования и направления информационных потоков ложного сетевого трафика, параметры синхронизации установленного часового пояса и времени, номер подсети d=d+1, IP-адреса IP^(d+1) и время их аренды t^(d+1) max

Затем задают (см. блок 47 на фиг. 2б) IP-адрес IP^(d+1) _dhcp DHCP-серверу.

Далее, так как сетевые параметры устройств вычислительной сети изменились, вновь формируют (см. блок 48 на фиг.2б) массив памяти N_A для новой подсети d=d+1.

Затем направляют (см. блок 49 на фиг. 2б сформированный ложный сетевой трафик через вычисленные промежутки времени задержки τ^gen из временного ряда T_gen между пакетами в исходную подсеть d.

В случае, если условие t-t_st>(b_st+1)⋅t_train выполняется (см. блок 50 на фиг. 2б), что соответствует истечению промежутка времени перенастройки параметров математической модели, то увеличивают (см. блок 51 на фиг. 2б) значение счетчика количества перенастроек параметров математической модели на единицу.

Затем вновь считывают (см. блок 17 на фиг. 2а) временной ряд T_del задержек между пакетами сетевого трафика длиной V вычислительной сети d с целью обеспечения адекватности динамических свойств формируемого ложного трафика в подсети.

В случае если условие t-tst>(b_st+l)⋅t_train не выполняется (см. блок 50 на фиг. 2б), что свидетельствует об отсутствии необходимости перенастройки параметров математической модели, то сравнивают (см. блок 52 на фиг. 2б) промежуток времени t-t_st с момента времени t_st, до текущего момента времени t с временем t_d генерации ложного сетевого трафика вычислительной сети.

В случае если условие t -t_st>t_d не выполняется (см. блок 52 на фиг. 2б), что свидетельствует о том, что время формирования и направления ложного сетевого трафика t_d не истекло, то снова направляют (см. блок 49 на фиг. 2б) сформированный ложный сетевой трафик с интервалами задержки τ^gen из временного ряда T_gen между пакетами в исходную подсеть d.

В случае если условие t - t_st>t_d выполняется, то уменьшают (см. блок 53 на фиг. 2б) значение порядка интегрирования I временного ряда и счетчика b_st (см. блок 54 на фиг. 26) количества перенастроек параметров математической модели ARIMA до нуля и завершают (см. блок 55 на фиг. 26) направление в подсеть d ложного трафика.

После этого задают сетевому устройству (см. блок 56 на фиг. 2б), с которого осуществлялось формирование и направление ложного сетевого трафика в подсеть d новые параметры синхронизации установленного часового пояса и времени, номер подсети d=d+1, IP-адрес IP^(d+1) и время его аренды t^(d+1)_max, IР-адрес выбранного DHCP-сервера IP^(d+1)_dhcp.

Далее вновь формируют (см. блок 57 на фиг. 2б) массив памяти N_A для хранения матрицы соответствия MAC- и IP-адресов сетевых устройств в подсети d=d+1 с учетом появившегося из подсети d сетевого устройства, с которого осуществлялось формирование и направление ложного сетевого трафика.

В качестве критерия K_st для проверки стационарности временного ряда выбирают расширенный тест Дики-Фуллера (ADF-тест) для уравнения временного ряда второго типа (без тренда и с ненулевым средним значением) Δz_t=α₀+θz_t-1+α₁z_t-1+α₂z_t-2+…+α_pΔz_t-p+α_t, расчет значения статистики осуществляется как отношение оценки коэффициента уравнения 0 временного ряда к ее стандартной ошибке s. Критические статистики распределения Дики-Фуллера для различных уровней значимости приведены, к примеру, в статье Yin-Wong Cheung, Kon S. Lai.. Lag Order and Critical Values of the Augmented Dickey- Fuller Test, Journal of Business and Economis Statistics, 1995, Vol 13, No. 3, на стр. 278.

Значение уровня значимости α_st, при определении критического значения критерия K*_st, то есть критического значения статистики ADF расширенного теста Дики-Фуллера, выбирают равным 0,05.

В качестве критерия IС выбора порядка авторегрессии и скользящего среднего математической модели АRIMA выбирают информационный критерий Акаике, который позволяет провести структурную идентификацию модели (см. фиг. 3 в), то есть выбор оптимального порядка авторегрессии R* и скользящего среднего J* для заданных исходных данных с точки зрения максимального правдоподобия и количества параметров, входящих в модель. Значение критерия рассчитывается как AIC=2k-LogL, приведенного в статье Akaike, H. A new look at the statistical model identification, IEEE Transactions on Automatic Control, 1974, Vol.19, No. 6 на стр. 716, где k - это число параметров модели, L - максимизированное значение функции правдоподобия модели.

В качестве метода оценки оптимальных значений параметров Р*_mod и математической модели АRIMA выбирают метод наибольшего (максимального) правдоподобия, оценка параметров модели осуществляется при решении задачи скалярной оптимизации с ограничениями, вида - вектор параметров модели ARIMA, включающий

в себя - допустимое множество значений параметров,

входящих в - функция (функционал) правдоподобия, для временных рядов, описываемых с использованием моделей типа ARIMA может быть представлена в форме, приведенной в статье А.I. McLeod and Y. Zhang (2008), Faster АРМА maximum likelihood estimation, Computational Statistics & Data Analysis, 52-4, 2766-2176. doi: 10.1016//.csda.2007.07.020. на стр. 2169.

В качестве метода вычисления проинтегрированного временного ряда Δ^IT_del выбирают взятие конечных разностей между соседними значениями временного ряда T_del, то есть Δτ^del(I)_t=τ^del(I) _t+1- τ^del(I)_t.

Максимальное значение порядка авторегрессии R_max и порядка скользящего среднего J_max математической модели задают равным 5, как например, принято в статье Ricardo S. Ehlers, Stephen Р. Brooks, Select Statistics Bayesian Analysis of Order Uncertainty in ARIMA Models, 2006 на стр. 7. Данные параметры определяют сложность модели посредством изменения размерности допустимого множества параметров Θ.

В качестве устройства для формирования и направления в подсеть ложного сетевого трафика выбирают компьютер с установленным программным обеспечением для формирования сетевого трафика, например, PacketSender (http:packetsender.com).

Таким образом, в заявленном способе обеспечивается повышение результативности защиты за счет снижения возможностей нарушителя по компрометации средств защиты и его введения в заблуждение. Это достигается формированием в соответствии с математической моделью ARIMA и направлением ложного сетевого трафика в исходной подсети с динамическими характеристиками, свойственными реальному сетевому трафику, после изменения текущих параметров сетевых устройств на новые параметры в новой подсети.

Изобретение относится к области информационной безопасности. Техническим результатом является повышение результативности защиты за счет снижения возможностей нарушителя по компрометации средств защиты и его введения в заблуждение. Для достижения технического результата последовательно считывают заданное количество промежутков времени между пакетами сетевого трафика в защищаемой подсети и проводят структурную и параметрическую идентификацию математической модели, необходимой для формирования и направления ложного сетевого трафика с динамическими свойствами, близкими к реальному сетевому трафику. В случае обнаружения несанкционированных информационных потоков завершают аренду ранее назначенных сетевых параметров сетевых устройств в исходной подсети. После чего задают в исходной подсети сетевое устройство для формирования и направления ложного сетевого трафика. Затем формируют и назначают новые сетевые параметры в новой подсети всем сетевым устройствам, кроме заданного сетевого устройства, для формирования и направления ложного сетевого трафика. Затем формируют и направляют в исходную подсеть ложный трафик через промежутки времени, сформированные в соответствии с математической моделью с целью адаптивного формирования параметров ложного трафика. 7 з.п. ф-лы, 4 ил.

1. Способ защиты вычислительных сетей, заключающийся в том, что предварительно задают IP={IP₁, IP₂, …, IP_n} множество IP-адресов сетевых устройств вычислительной сети, являющихся DHCP-клиентами DHCP-сервера, где n - максимальное допустимое значение количества IP-адресов сетевых устройств вычислительной сети, также задают подмножества d во множестве IP-адресов сетевых устройств вычислительной сети IP^d={IP^d₁, IP^d₂, …, IP^d_n}, где d - номер подсети DHCP-сервера, d=1, 2, …, z, где z - максимальное количество подсетей, для каждого подмножества d задают IP-адреса DHCP-серверов IP^d _dhcp, где IP^d _dhcp - IP-адрес DHCP-сервера, IP^d dhcp IP^d, затем предварительно задают массив памяти D=[l, 2, …, z] для хранения номеров подсетей DHCP-сервера и t^d max - максимальное значение времени аренды всех IP-адресов подсети с номером d, далее задают С={CIP₁, CIP₂, …, CIP_m} множество соединений между сетевыми устройствами вычислительной сети, где CIP_m - идентификатор соединения между сетевыми устройствами вычислительной сети, который содержит в себе IP-адрес отправителя с и получателя b, тип протокола взаимодействия, порты взаимодействия, где m - максимальное допустимое количество соединений между сетевыми устройствами вычислительной сети, а также предварительно задают массив памяти C_i=[CIP₁, CIP₂, …, CIP_m] для хранения идентификаторов CIP_m и множество идентификаторов санкционированных информационных потоков TS≥1, после этого предварительно задают MAC={MAC₁, MAK₂, …, MAC_l} множество MAC-адресов сетевых устройств вычислительной сети, где l - максимальное количество сетевых устройств в вычислительной сети, массив памяти N_A для хранения матрицы соответствия n-му IP-адресу сетевого устройства из множества IP-адресов l-го MAC-адреса из массива памяти MAC, далее задают FIP^d={FIP^d₁, FIP^d₂, …, FIP^d_ƒ} - множество IP-адресов ложных абонентов подсети d, где ƒ - максимальное допустимое количество IP-адресов сетевых устройств подсети d, время t_d направления ложного сетевого трафика в подсеть, подключают сетевые устройства к вычислительной сети, направляют с сетевых устройств вычислительной сети сообщения DHCP-серверу для получения параметров синхронизации установленного часового пояса и времени, номера подсети d, IP-адресов IP^d и времени их аренды, IP-адреса DHCP-сервера IP^d_dhcp, принимают DHCP-сервером сообщения от сетевых устройств вычислительной сети, формируют для сетевых устройств сообщения, содержащие параметры синхронизации установленного часового пояса и времени, назначенные номер подсети d, IP-адреса IP^d и время их аренды, IP-адрес DHCP-сервера IP^d _dhcp, направляют сформированные сообщения сетевым устройствам вычислительной сети, принимают каждым сетевым устройством вычислительной сети сообщение от DHCP-сервера, направляют от сетевых устройств вычислительной сети ответные сообщения DHCP-серверу, подтверждающие его выбор, принимают DHCP-сервером сообщения от сетевых устройств вычислительной сети, подтверждающие его выбор, задают сетевым устройством вычислительной сети параметры синхронизации установленного часового пояса и времени, назначенные номер подсети d, IP-адреса IP^d и время их аренды, для DHCP-сервера IP-адрес IP^d_dhcp, далее устанавливают соответствие MAC- и IP-адресов, запоминают соответствие MAC- и IP-адресов в массиве памяти N_A, удаляют из массива памяти N_A те соответствия сетевых устройств вычислительной сети, от которых не получили сообщения, подтверждающие их выбор, устанавливают соединения между сетевыми устройствами вычислительной сети, назначают установленным соединениям между сетевыми устройствами вычислительной сети идентификаторы CIP_m, затем запоминают идентификаторы CIP_m в массиве памяти С_i, принимают из канала связи пакет сообщения, далее выделяют из заголовка принятого пакета сообщения идентификатор информационного потока, затем сравнивают его с идентификаторами санкционированных информационных потоков TS и при совпадении выделенного идентификатора информационного потока с идентификаторами санкционированных информационных потоков TS передают пакет сообщений получателю, после этого принимают из канала связи следующий пакет сообщения, а в случае несовпадения выделенного идентификатора с идентификаторами санкционированных информационных потоков TS сравнивают IP-адрес получателя в принятом пакете сообщений с предварительно заданными ложными IP-адресами абонентов вычислительной сети FIP и при несовпадении IP-адреса получателя в принятом пакете сообщений с предварительно заданными ложными IP-адресами абонентов FIP игнорируют пакет сообщений, а при совпадении IP-адреса получателя в принятом пакете сообщений с предварительно заданными ложными IP-адресами абонентов FIP сравнивают IP-адрес отправителя пакетов сообщений с каждым IP-адресом сетевого устройства вычислительной сети из множества IP^d, в случае их совпадения исключают МАС-адрес сетевого устройства из массива N_A DHCP-сервера, а в случае их несовпадения считывают DHCP-сервером из массива D следующий d=d+1 номер подсети, после этого формируют для сетевых устройств сообщения, содержащие новые параметры синхронизации установленного часового пояса и времени, номер подсети d=d+1, IР-адреса IP^(d+1) и время их аренды t^(d+1)_max, DHCP-серверу IP-адрес IP^(d+1)_dhcp, затем направляют с DHCP-сервера сетевым устройствам вычислительной сети сформированные сообщения, содержащие новые параметры синхронизации установленного часового пояса и времени, номер подсети d=d+1, IP-адреса IP^(d+1) и время их аренды t^(d+1)_max, далее принимают каждым сетевым устройством вычислительной сети сообщения, содержащие новые параметры синхронизации установленного часового пояса и времени, номер подсети d=d+1, IP-адреса IP^(d+1) и время их аренды t^(d+1)_max, задают в подсети d сетевое устройство для формирования и направления информационных потоков ложного сетевого трафика в этой подсети, после этого задают сетевым устройствам подсети d, кроме сетевого устройства для формирования и направления информационных потоков ложного сетевого трафика, параметры синхронизации установленного часового пояса и времени, номер подсети d=d+1, IP-адреса IP^(d+1) и время их аренды t^(d+1)_max, задают IP-адрес IP^(d+1)_dhcp для DHCP-сервера, затем вновь формируют массив памяти для хранения матрицы соответствия MAC- и IP-адресов сетевых устройств вычислительной сети, задают сетевому устройству, с которого осуществлялось формирование и направление ложного сетевого трафика в подсеть d, новые параметры синхронизации установленного часового пояса и времени, номер подсети d=d+1, IP-адрес IP^(d+1) и время его аренды t^(d+1)_max, IP-адрес выбранного DHCP-сервера IP^(d+1)_dhcp, вновь формируют массив памяти для хранения матрицы соответствия MAC- и IP-адресов сетевых устройств в подсети d=d+1 с учетом появившегося из подсети d сетевого устройства, с которого осуществлялось формирование и направление ложного сетевого трафика, отличающийся тем, что в предварительно заданные исходные данные дополнительно задают t - счетчик времени, содержащий значение текущего времени, t_st - счетчик времени, содержащий значение времени подключения сетевых устройств к подсети, t_train - промежуток времени, после которого необходимо провести перенастройку параметров математической модели, b_st - счетчик количества перенастроек параметров математической модели, V - длина считываемого временного ряда T_{del задержек τ^del между пакетами сетевого трафика вычислительной сети d, где Tdel={τ^del1, τ^del2,…, τ^delV} - временной ряд задержек между пакетами сетевого трафика длиной V вычислительной сети d, Mz=[τ^del1, τ^del2, …, τ^delV] - массив памяти для хранения временного ряда Tdel задержек τ^del между пакетами сетевого трафика длиной V вычислительной сети d, W - количество генерируемых в вычислительной сети d пакетов ложного сетевого трафика, Mk=[τ^gen1, τ^gen2, …, τ^genW] - массив памяти для хранения вычисленных значений временного ряда Tgen задержек τgen длиной W между моментами времени генерации ложного сетевого трафика вычислительной сети d, где Tgen={τ^gen1, τ^gen2, …, τ^genW} - временной ряд задержек τ^gen между моментами времени генерации ложного сетевого трафика длиной W вычислительной сети d, I - порядок интегрирования математической модели, Mint=[Δτ^del(I)1, Δτ ^del(I)2, …, Δτ^del(I)V-I] - массив памяти для хранения проинтегрированного временного ряда Δ^ITdel порядка I задержек между пакетами сетевого трафика длиной V вычислительной сети d, где Δ^ITdel={Δτ^del(I)1, Δτ^del(I)2, …, Δτ^del(I)V-I} - проинтегрированный временной ряд порядка I задержек между пакетами сетевого трафика длиной V-I вычислительной сети d, M^genint=[Δτ^gen(I)1, Δτ^gen(I)2, …, Δτ^gen(I)W-I] - массив памяти для хранения вычисленных значений проинтегрированного временного ряда Δ^ITgen порядка I задержек между пакетами ложного сетевого трафика длиной W-I вычислительной сети d, где Δ^ITgen={Δτ^gen(I)1, Δτ^gen(I)2, …, Δτ^gen(I)W-I} - проинтегрированный временной ряд порядка I задержек между пакетами ложного сетевого трафика длиной W-I вычислительной сети d, Rmax - максимальное значение порядка авторегрессии математической модели, определяющее мощность допустимого множества Pmod параметров авторегрессии математической модели, где Pmod={p1, …, pRmax} - допустимое множество параметров авторегрессии математической модели, Jmax - максимальное значение порядка скользящего среднего математической модели, определяющее мощность допустимого множества параметров скользящего среднего математической модели, где Qmod={q1, …, qJmax} - допустимое множество параметров скользящего среднего математической модели, αst - уровень значимости для выбора критического значения критерия K*st стационарности временного ряда, K*st - критическое значение критерия K*st стационарности временного ряда для уровня значимости αst, MA=[IC1, IC2, …, ICVk] - массив памяти для хранения вычисленных значений критерия IC выбора порядка математической модели для различных комбинаций значений порядка модели R и J, где максимальное количество комбинаций Vk параметров порядка модели определяется как Vk=Rmax⋅Jmax, Mp=[[p*1, p*2, …, p*R*], [d1, d2, …, d*J*]] - массив памяти для хранения оптимальных значений параметров авторегрессии и скользящего среднего математической модели, где R*, J* - оптимальные значения порядка авторегрессии и скользящего среднего математической модели, соответствующие минимальному значению критерия выбора порядка математической модели IC для различных комбинаций значений порядка модели R и J, далее после запоминания идентификаторов CIPm в массиве памяти Сi считывают временной ряд Tdel задержек τ^del между пакетами сетевого трафика длиной V вычислительной сети d, запоминают временной ряд Tdel задержек τ^del между пакетами сетевого трафика длиной V вычислительной сети d в массиве памяти Mz, вычисляют значение критерия стационарности Kst, временного ряда задержек между пакетами сетевого трафика вычислительной сети d, сравнивают значение критерия стационарности Kst с его критическим значением K*st, в случае если условие Kst>K*st выполняется, что соответствует сетевому трафику, не обладающему свойством стационарности, то увеличивают значение порядка интегрирования I математической модели на единицу, вычисляют проинтегрированный временной ряд Δ^ITdel порядка I задержек между пакетами сетевого трафика длиной V, запоминают проинтегрированный временной ряд Δ^ITdel порядка I в массиве памяти Mint, вычисляют значение критерия стационарности Kst проинтегрированного временного ряда Δ^ITdel порядка I, в случае если условие Kst>K*st не выполняется, что соответствует сетевому трафику, обладающему свойством стационарности, то вычисляют значения критерия IC выбора порядка математической модели для всех комбинаций параметров порядка модели R, J и запоминают вычисленные значения критерия IC в массиве памяти MA, вычисляют значения оптимальных параметров математической модели Р*mod и Q*mod, где Р*mod={p*1, …, p*R*} - множество оптимальных параметров авторегрессии математической модели, Q*mod={q*1, …, q*J*} - множество оптимальных параметров скользящего среднего математической модели, запоминают вычисленные значения параметров математической модели P*mod и Q*mod в массиве памяти MP, сравнивают значение счетчика порядка интегрирования I с нулем, в случае если условие I>0 не выполняется, то вычисляют значения интервалов задержек τ^gen временного ряда Tgen между пакетами ложного сетевого трафика между сетевыми устройствами вычислительной сети с номером d, в случае если условие I>0 выполняется, то вычисляют проинтегрированный временной ряд Δ^ITgen порядка I, запоминают вычисленный проинтегрированный временной ряд Δ^ITgen порядка I в массиве памяти M^genint, вычисляют из проинтегрированного временного ряда Δ^ITgen порядка I значения интервалов задержек τ^gen временного ряда Tgen между пакетами ложного сетевого трафика между сетевыми устройствами вычислительной сети с номером d, запоминают вычисленные значения интервалов задержек τ^gen временного ряда Tgen между пакетами сетевого трафика вычислительной сети с номером d в массиве памяти Mk, затем после формирования массива памяти NA для хранения матрицы соответствия MAC- и IP-адресов сетевых устройств вычислительной сети направляют сформированный ложный сетевой трафик с интервалами задержки τ^gen из временного ряда Tgen между пакетами в исходную подсеть d, в случае если условие t-tst>(bst+1)⋅ttrain выполняется, что соответствует истечению промежутка времени перенастройки параметров математической модели, то увеличивают значение счетчика количества перенастроек параметров математической модели на единицу, считывают временной ряд Tdel задержек τ^del между пакетами сетевого трафика длиной V вычислительной сети d, в случае если условие t-tst>(bst+1)⋅ttrain не выполняется, что свидетельствует об отсутствии необходимости перенастройки параметров математической модели, то сравнивают промежуток времени t - tst с момента времени tst до текущего момента времени t с временем td генерации ложного сетевого трафика вычислительной сети, в случае если условие t-tst>td не выполняется, то направляют сформированный ложный сетевой трафик с интервалами задержки τ^gen из временного ряда Tgen между пакетами в исходную подсеть d, в случае если условие t-tst>td выполняется, то уменьшают значение порядка интегрирования I временного ряда до нуля, затем уменьшают значение счетчика bst количества перенастроек параметров математической модели до нуля, завершают направление ложного сетевого трафика в исходную подсеть d.}

2. Способ по п. 1, отличающийся тем, что в качестве критерия K_st проверки стационарности временного ряда выбирают расширенный тест Дики-Фуллера.

3. Способ по п. 1, отличающийся тем, что значение уровня значимости α_st при определении критического значения критерия K*_st проверки стационарности выбирают равным 0,05.

4. Способ по п. 1, отличающийся тем, что в качестве критерия IC выбора порядка авторегрессии и скользящего среднего математической модели выбирают информационный критерий Акаике.

5. Способ по п. 1, отличающийся тем, что в качестве метода вычисления значений оптимальных параметров P*_mod и Q*_mod математической модели выбирают метод максимального правдоподобия.

6. Способ по п. 1, отличающийся тем, что в качестве метода вычисления проинтегрированного временного ряда Δ^IT_del выбирают взятие конечных разностей между соседними значениями временного ряда T_del, то есть Δτ^del(I)_t=τ^del(I)_t+1 - τ^del(I)_t.

7. Способ по п. 1, отличающийся тем, что максимальное значение порядка авторегрессии R_max математической модели задают равным 5.

8. Способ по п. 1, отличающийся тем, что максимальное значение порядка скользящего среднего J_max математической модели задают равным 5.