Способ и система сбора данных TCP-сессии между участниками Российский патент 2025 года по МПК H04L43/829 H04L9/40 

Область техники

Изобретение относится к области вычислительной техники и информационной безопасности, а более конкретно к способу и системе сбора данных TCP-сессии между участниками.

Уровень техники

В современном мире на большинстве предприятий автоматизируются производственные процессы. Автоматизация производственных процессов имеет несомненные преимущества, заключающиеся, например, в повышении производительности труда, в снижении затрат на рабочую силу, в сокращении или устранении рутинных задач, в расширении спектра предлагаемых услуг и т.д. Однако, существует ряд проблем информационной безопасности, которые возникают в связи с автоматизацией производственных процессов и требуют незамедлительных решений.

Одной из таких проблем является остановка TCP-сессии при сборе сетевых пакетов из зеркалированного сетевого трафика для контроля технологических процессов (ТП). Под технологическим процессом понимается часть производственного процесса, содержащая целенаправленные действия по изменению и (или) определению состояния предмета труда (ГОСТ 3.1109-82 «Межгосударственный стандарт. Единая система технологической документации. Термины и определения основных понятий»). Для зеркалирования сетевого трафика используется технология зеркалирования сетевого трафика со SPAN-порта (англ. Switch port analyzer) на сетевом коммутаторе для его последующего анализа. Основной проблемой использования технологии зеркалирования сетевого трафика со SPAN-порта является потеря данных при возникновении перегрузки SPAN-порта. Под потерянными данными подразумеваются потери сетевых пакетов (англ. network packet loss). Потери сетевых пакетов при зеркалировании сетевого трафика негативно влияют на сбор TCP-сессии. Каждый потерянный сетевой пакет вызывает остановку процесса сбора TCP-сессии, а из-за постоянного восстановления процесса сбора TCP-сессии может быть пропущено значительное количество пакетов сетевого трафика. В свою очередь такие пропуски могут быть критическими для проведения дальнейшего анализа TCP-сессии.

Еще одной проблемой информационной безопасности является ситуация, при которой сбор TCP-сессии не восстанавливается после потерянного сетевого пакета, так как сторона, собирающая TCP-сессию из зеркалированного сетевого трафика, расценивает потерю пакета как разрыв TCP-сессии между участниками. Указанные проблемы возникают для стороны, которая получает зеркалированный сетевой трафик. Участниками TCP-сессии являются, например, SCADA и ПЛК, а стороной, получающей зеркалированный сетевой трафик, является, например, сервер.

Из уровня техники известно техническое решение, описанное в публикации WO2017132987А1 «Method and system for recognizing packet loss type in data transmission of reliable transmission protocol», в котором определяют потерянные сетевые пакеты. Однако указанное техническое решение не решает проблему, когда уже известно о некоторых потерянных сетевых пакетах, при котором можно было бы продолжать сбор TCP-сессии и анализировать зеркалированный сетевой трафик даже с потерянными сетевыми пакетами.

Также из уровня техники известны технических решения, направленные на анализ сетевого трафика, такие, как описанные в следующих патентных публикациях: US10079764B2, US7898955B1 и CN108696450A. Однако указанные решения также не решают обозначенную проблему. Связано это с тем, что потеря даже одного зеркалированного сетевого пакета является условием остановки этой TCP-сессии для стороны, проводящей ее сбор. Стороне, проводящей анализ, данные зеркалированного сетевого трафика после этого разрыва поступать не будут, и необходимо будет заново восстанавливать TCP-сессию. В то же время, участники между собой продолжают взаимодействовать, т.е. передавать данные TCP-сессии. Такое обстоятельство указывает на то, что существует вероятность пропустить важные события информационной безопасности, что повышает риски информационной безопасности.

Раскрытие сущности изобретения

Настоящее изобретение направлено на устранение по меньшей мере некоторых недостатков известных подходов, связанных с прерыванием TCP-сессии во время осуществления зеркалирования сетевого трафика между участниками.

Технический результат заключается в непрерывном сборе данных TCP-сессии в процессе зеркалирования сетевого трафика, осуществляемой между участниками.

В одном из вариантов реализации настоящего изобретения предлагается способ сбора данных TCP-сессии между участниками, включающий этапы, на которых: а) обнаруживают передачу сетевого трафика по TCP-сессии между участниками в одной компьютерной сети; б) осуществляют зеркалирование обнаруженного сетевого трафика для получения копии передаваемых данных на сервере, расположенном в другой компьютерной сети; в) осуществляют сбор TCP-сессии из получаемой копии передаваемых данных с использованием по меньшей мере одного эвристического правила для определения допустимой потери, включающей потерю по меньшей мере одного сетевого пакета в сетевом трафике, при этом продолжают сбор TCP-сессии, если после допустимой потери сетевые пакеты продолжают поступать.

В еще одном варианте реализации способа эвристическое правило содержит дополнительное условие, при котором осуществляют сбор TCP-сессии до момента, пока эвристическое правило не определит недопустимую потерю.

В еще одном варианте реализации способа недопустимой потерей сетевых пакетов является потеря двух и более сетевых пакетов подряд.

В еще одном варианте реализации способа данные TCP-сессии содержат параметры технологического процесса.

В еще одном варианте реализации способа дополнительно проводят анализ собранной TCP-сессии из зеркалированного сетевого трафика для контроля технологического процесса или выявления аномалии в сетевом трафике TCP-сессии.

В еще одном варианте реализации способа на основе анализа собранной TCP-сессии создают событие информационной безопасности для контроля технологического процесса или в случае возникновения аномалии.

В еще одном варианте реализации способа созданное событие информационной безопасности сохраняют в базу данных, а также сохраняют сетевой трафик, относящийся к этому событию.

В качестве другого варианта реализации настоящего изобретения предлагается система сбора данных ТСР-сессии между участниками, характеризующаяся тем, что содержит: а) сетевой коммутатор, предназначенный для зеркалирования сетевого трафика, при взаимодействии по ТСР-сессии участников компьютерной сети, а также передачи указанного сетевого трафика, содержащего копию передаваемых данных, на сервер в другой компьютерной сети; б) сервер, расположенный в другой компьютерной сети, осуществляющий обнаружение передачи данных по ТСР-сессии при помощи взаимодействия с сетевым коммутатором, который определяет взаимодействие между участниками по ТСР-сессии, при этом сервер содержит по меньшей мере: 1) анализатор, предназначенный для осуществления сбора TCP-сессии из получаемой копии передаваемых данных с использованием по меньшей мере одного эвристического правила для определения допустимой потери, включающей потерю по меньшей мере одного сетевого пакета в сетевом трафике, при этом сбор TCP-сессии продолжается, если после допустимой потери сетевые пакеты продолжают поступать; 2) базу данных, для хранения зеркалированного сетевого трафика.

В еще одном варианте реализации системы эвристическое правило содержит дополнительное условие, при котором анализатор осуществляет сбор TCP-сессии до момента, пока эвристическое правило не определит недопустимую потерю.

В еще одном варианте реализации системы недопустимой потерей сетевых пакетов является потеря двух и более сетевых пакетов подряд.

В еще одном варианте реализации системы данные ТСР-сессии содержат параметры технологического процесса.

В еще одном варианте реализации системы сервер дополнительно содержит средство формирования событий для формирования событий информационной безопасности.

В еще одном варианте реализации системы анализатор дополнительно проводит анализ собранной ТСР-сессии из зеркалированного сетевого трафика для контроля технологического процесса или выявления аномалии в сетевом трафике ТСР-сессии.

В еще одном варианте реализации системы на основе анализа собранной ТСР-сессии средством формирования событий формируется событие информационной безопасности для контроля технологического процесса или в случае возникновения аномалии.

В еще одном варианте реализации системы сформированное событие информационной безопасности сохраняется в базу данных, а также сохраняется сетевой трафик, относящийся к этому событию.

В еще одном варианте реализации системы сформированное событие информационной безопасности содержит по меньшей мере ip/mac-адрес идентифицирующий ПЛК, средство диспетчеризации, средство конфигурирования, а также метку времени и тип события.

Краткое описание чертежей

Прилагаемые чертежи иллюстрируют только примерные варианты осуществления и поэтому не должны считаться ограничивающими его объем, могут допускать другие, не менее эффективные, варианты осуществления. Дополнительные цели, признаки и преимущества настоящего изобретения будут очевидными из прочтения последующего описания осуществления изобретения со ссылкой на прилагаемые чертежи, на которых:

На Фиг. 1 представлен пример проблемы сбора TCP-сессии из зеркалированного сетевого трафика при возникновении потери сетевых пакетов.

На Фиг. 2 представлена система сбора данных TCP-сессии между участниками.

На Фиг. 3 представлен пример решения заявленной технической проблемы сбора TCP-сессии из зеркалированного сетевого трафика при возникновении потери сетевых пакетов.

На Фиг. 4 представлен пример настройки ПЛК.

На Фиг. 5 представлен пример установления правила технологического процесса для ПЛК.

На Фиг. 6 представлен пример сбора TCP-сессии анализатором.

На Фиг. 7 представлен пример срабатывания эвристического правила при сборе TCP-сессии.

На Фиг. 8 представлен способ сбора данных TCP-сессии между участниками.

На Фиг. 9 представлен пример компьютерной системы, с помощью которой может быть реализовано настоящее изобретение.

Осуществление изобретения

Объекты и признаки настоящего изобретения, способы для достижения этих объектов и признаков станут очевидными посредством отсылки к примерным вариантам осуществления. Однако настоящее изобретение не ограничивается примерными вариантами осуществления, раскрытыми ниже, оно может воплощаться в различных видах. Сущность, приведенная в описании, является ничем иным, как конкретными деталями, необходимыми для помощи специалисту в области техники в исчерпывающем понимании изобретения, и настоящее изобретение определяется в объеме приложенной формулы.

Ниже определен ряд терминов, которые будут использоваться при описании вариантов осуществления изобретения.

Анализатор трафика (packet sniffer, network sniffing tool, от англ. to sniff - нюхать) - средство для перехвата и анализа сетевого трафика (своего и/или чужого).

Аномалия – отклонение от нормального функционирования технологического процесса.

Зеркалирование сетевого трафика (англ. mirroring network traffic, SPAN - аббр. от англ. Switched Port Analyzer) - дублирование сетевых пакетов одного порта сетевого коммутатора (или VPN) на другом порту. На сетевом коммутаторе этот порт называется SPAN-порт.

Событие информационной безопасности, событие ИБ (англ. information security event, далее – событие) – идентифицированное появление определенного состояния системы, сервиса или сети, указывающего на возможное нарушение политики ИБ или отказ защитных мер, или возникновение неизвестной ранее ситуации, которая может иметь отношение к безопасности (ГОСТ Р ИСО/МЭК ТО 18044-2007 Информационная технология. Методы и средства обеспечения безопасности. Менеджмент инцидентов информационной безопасности). Событие также может быть инцидентом.

Инцидент информационной безопасности (англ. information security incident, далее – инцидент) – появление одного или нескольких нежелательных или неожиданных событий ИБ, с которыми связана значительная вероятность компрометации бизнес-операций и создания угрозы ИБ (ГОСТ Р ИСО/МЭК ТО 18044-2007 Информационная технология. Методы и средства обеспечения безопасности. Менеджмент инцидентов информационной безопасности). Инцидент может состоять из одного или нескольких событий.

TCP (аббр. от англ. Transmission Control Protocol - протокол управления передачей) - один из основных протоколов передачи данных сети Интернет. Предназначен для управления передачей данных сети Интернет. Механизм TCP предоставляет поток данных с предварительной установкой соединения, осуществляет повторный запрос данных в случае потери данных и устраняет дублирование при получении двух копий одного пакета, гарантируя тем самым целостность передаваемых данных и уведомление отправителя о результатах передачи.

SCADA (аббр. от англ. Supervisory Control Data Acquisition – диспетчерское управление и сбор данных) – программный пакет, предназначенный для разработки или обеспечения работы в реальном времени систем сбора, обработки, отображения и архивирования информации об объекте мониторинга или управления.

SIEM (аббр. от англ. Security Information and Event Management) системы - класс программных продуктов, предназначенных для сбора и анализа информации о событиях безопасности.

На Фиг. 1 представлен пример проблемы сбора TCP-сессии из зеркалированного сетевого трафика при возникновении потери сетевых пакетов. На Фиг. 1 показана диаграмма процесса сбора TCP-сессии между ПЛК и SCADA-системой. Сбор TCP-сессии из зеркалированного сетевого трафика проводится третьей стороной (на Фиг. 1 не указана) и начинается со второго сетевого пакета. Получив сетевые пакеты 2 и 3, происходит остановка сбора TCP-сессии из-за потери четвертого сетевого пакета. Далее происходит восстановление сбора TCP-сессии. В период восстановления сбора пропускаются сетевые пакеты 5 и 6, после чего сбор TCP-сессии восстанавливается с седьмого сетевого пакета.

В дальнейшем при сборе TCP-сессии из зеркалированного сетевого трафика не исключаются такие же сбросы из-за потерь сетевых пакетов, как в примере на Фиг. 1. Постоянные остановки сбора TCP-сессии при потере сетевых пакетов затруднят последующий анализ собранной TCP-сессии. В примере на Фиг. 1 сетевые пакеты 5 и 6 содержали данные технологического процесса, которые были пропущены в период восстановления сбора TCP-сессии, без которых трудно проанализировать собранную TCP-сессию. Также из-за постоянных сбросов TCP-сессии существует вероятность пропустить событие информационной безопасности, которое в свою очередь может нанести ущерб технологическим процессам.

На Фиг. 2 представлена система сбора данных TCP-сессии между участниками 200 (далее – система 200).

Стоит отметить, что при описании системы 200 представлена работа только с двумя программируемыми логическими контроллерами (далее – ПЛК), такими как ПЛК 210а и ПЛК 210б. В то же время реализация системы 200 не ограничивается только двумя ПЛК. Система 200 может быть реализована для любого количества ПЛК. Далее по тексту при отсылке к любому из ПЛК используется нумерация 210 (не указано на Фиг. 2), если же требуется указать конкретный ПЛК, то используется буквенная нумерация, например, ПЛК 210а или ПЛК 210б.

В других вариантах реализации вместо ПЛК может использоваться, например, компьютер, микроконтроллер или любое другое вычислительное устройство, осуществляющее взаимодействие по TCP протоколу.

Система 200 содержит объединенные компьютерной сетью 205а программируемые логические контроллеры 210а, 210б, 210N сетевой коммутатор 220, средство диспетчеризации 230 (далее – средство 230), средство конфигурирования 235 (далее – средство 235). Также система 200 содержит сервер 240, не являющийся частью компьютерной сети 205а, при этом сервер 240 является частью другой компьютерной сети, например, компьютерной сети 205б. Сервер 240 содержит по меньшей мере анализатор 250 и базу данных 270. В одном варианте реализации сервер 240 дополнительно содержит средство формирования событий 260 для формирования событий информационной безопасности. ПЛК 210, средство 230 или средство 235 осуществляют взаимодействия между собой по протоколу TCP, создавая TCP-сессию. Другими словами, указанные средства при взаимодействии друг с другом являются участниками TCP-сессии.

В частном варианте реализации компьютерная сеть 205а является промышленной сетью предприятия.

В компьютерной сети 205а ПЛК 210, сетевой коммутатор 220, средство 230 и средство 235 входят в состав автоматизированной системы управления технологическим процессом (АСУ ТП). Взаимодействие средства 230 и средства 235 с ПЛК 210 обеспечивается через сетевой коммутатор 220. Сетевой коммутатор 220 предназначен для соединения ПЛК 210 со средством 230 и средством 235 в пределах компьютерной сети 205а. Также сетевой коммутатор 220 предназначен для зеркалирования сетевого трафика при взаимодействии ПЛК 210 со средством 230 и средством 235 и передачи указанного сетевого трафика в компьютерную сеть 205б на сервер 240.

В частном варианте реализации между сетевым коммутатором 220 и сервером 240 расположен сенсор 225. Под сенсором 225 понимается компонент, установленный на отдельном компьютерном устройстве в компьютерной сети 205а, который под управлением сервера 240 получает и анализирует данные из сетевого трафика, например, сетевую активность между ПЛК 210а и средством 230, сетевые пакеты, передаваемые между ПЛК 210а и средством 230 или ПЛК 210а и средством 235 в компьютерной сети 205а. Сенсор 225 из анализа сетевого трафика выявляет взаимодействие, например, ПЛК 210а со средством 230 или ПЛК 210а со средством 235, а также данные о технологических параметрах и признаки атак в сетевом трафике. Результаты анализа сетевого трафика сенсор 225 передает на сервер 240. Сенсор 225 управляется сервером 240 из компьютерной сети 205б. Примером сенсора 225 является компонент таких решений компании «Лаборатория Касперского», как Kaspersky Industrial CyberSecurity for Networks и Kaspersky Anti Targeted Attack.

Под зеркалированным сетевым трафиком понимаются сетевые пакеты TCP-сессии между средством 230 и ПЛК 210 или средством 235 и ПЛК 210, и передающиеся через сетевой коммутатор 220 на сервер 240. Средство 230 предназначено для мониторинга и управления производственными процессами в компьютерной сети 205а, например, для осуществления передачи параметров технологического процесса от ПЛК 210а или ПЛК 210б средству 230, таких как значения температуры, давления и тому подобных. В частном варианте реализации средством 230 является SCADA-система. Средство 235 предназначено для настройки ПЛК 210.

Каждый элемент системы сбора данных TCP-сессии между участниками 200 может быть реализован на компьютерной системе, пример которой представлен на Фиг. 9.

Для зеркалирования сетевого трафика и передачи его на сервер 240, сетевой коммутатор 220 имеет отдельный порт, при этом ПЛК 210а, ПЛК 210б, средство 230 и средство 235 используют другие порты на сетевом коммутаторе 220. Указанный отдельный порт сетевого коммутатора 220 обеспечивает передачу на сервер 240 зеркалированного сетевого трафика TCP-сессии между ПЛК 210 и средством 230 или средством 235. Примером порта сетевого коммутатора 220, с которого передается зеркалированный сетевой трафик на сервер 240, является SPAN-порт. SPAN – это программная функция, встроенная в сетевой коммутатор 220, которая создает копию выбранного сетевого трафика и отправляет ее на указанный SPAN-порт.

В реализации системы 200 не исключается использование нескольких сетевых коммутаторов 220 в зависимости от количества портов для подключения ПЛК 210.

В частном варианте реализации сервер 240 является компонентом решения для защиты инфраструктуры промышленных предприятий, например, Kaspersky Industrial CyberSecurity for Networks или Kaspersky Anti Targeted Attack компании «Лаборатория Касперского».

В другом частном варианте реализации сервер 240 является SIEM-системой. Одним из примеров SIEM-системы является Kaspersky Unified Monitoring and Analysis Platform (KUMA) компании «Лаборатория Касперского».

Анализатор 250 на сервере 240 предназначен для осуществления сбора ТСР-сессии из получаемой копии передаваемых данных с использованием по меньшей мере одного эвристического правила для определения потери по меньшей мере одного сетевого пакета в сетевом трафике. При этом сбор ТСР-сессии продолжается, если после потери по меньшей мере одного сетевого пакета сетевые пакеты продолжают поступать. Анализатор осуществляет сбор со SPAN-порта сетевого коммутатора 220. Также в одном из вариантов реализации анализатор 250 дополнительно проводит анализ собранной ТСР-сессии из зеркалированного сетевого трафика для контроля технологического процесса или выявления аномалии в сетевом трафике ТСР-сессии. Примерами аномалий являются отказ оборудования, выраженный в отсутствии передачи сетевых пакетов, подозрительная активность, такая как увеличение количества сетевых пакетов, передающихся за секунду. К подозрительной активности также относятся выявленные отклонения в работе ПЛК 210, средства 230 или средства 235. При анализе собранной TCP-сессии анализатор 250 извлекает из сетевых пакетов значения параметров технологического процесса, а также обнаруживает в сетевом трафике системные команды, передаваемые между средством 230 или средством 235 и ПЛК 210.

При поступлении в анализатор 250 зеркалированного сетевого трафика осуществляется сбор TCP-сессии. Сбор может осуществляться не с момента создания TCP-сессии между ПЛК 210 и средством 230 или средством 235, а с момента запуска процесса зеркалирования сетевого трафика с сетевого коммутатора 220 в анализатор 250. Как было отмечено ранее, анализатор 250 содержит по меньшей мере одно эвристическое правило, суть которого заключается в принятии решения о продолжении сбора TCP-сессии при определении допустимой потери в сетевом трафике. Допустимой потерей является потеря по меньшей мере одного сетевого пакета в сетевом трафике при зеркалировании. Стоит отметить, что в течение всего процесса зеркалирования ТСР-сессии может быть потеряно и более одного сетевого пакета, но не должны быть потери двух и более сетевых пакетов подряд. Например, если были потеряны сетевые пакеты два, четыре и восемь, то такой случай является допустимой потерей. Если были потеряны сетевые пакеты два, три, то такой случай является недопустимой потерей. В одном варианте реализации эвристическое правило содержит дополнительное условие, при котором анализатор 250 осуществляет сбор ТСР-сессии до момента, пока эвристическое правило не определит недопустимую потерю сетевых пакетов. Недопустимой потерей сетевых пакетов является потеря двух и более сетевых пакетов. Потеря подряд двух и более сетевых пакетов является недопустимой потерей, из-за которой будет невозможен последующий анализ собранной ТСР-сессии. В еще одном варианте реализации анализатор 250 продолжает сбор ТСР-сессии в течение действия времени таймаута эвристического правила, даже в случае окончания ТСР-сессии между участниками. В указанном варианте реализации действует таймаут, например 90 секунд, по истечении которого анализатор 250 прекращает сбор TCP-сессии. В частном варианте реализации таймаут эвристического правила является настраиваемым параметром. В еще одном частном варианте реализации дополнительное условие у эвристического правила, при котором анализатор 250 останавливает сбор в зависимости от количества потерянных подряд сетевых пакетов, является настраиваемым параметром.

В одном варианте реализации в случае, если при анализе зеркалированного сетевого трафика была выявлена аномалия, анализатор 250 передает данные о выявленной аномалии в средство формирования событий 260 и сохраняет сетевой трафик в базу данных 270. Аномалия может возникнуть, например, из-за компьютерной атаки, из-за сбоя или отклонения технологического процесса от заданных параметров, некорректных показаний датчиков ПЛК 210, а также по другим причинам, в том числе известным из уровня техники. Стоит отметить, что возникновение аномалий происходит между ПЛК 210 и средством 230 или средством 235. В частном варианте реализации сохраненный сетевой трафик в базе данных 270 дополнительно проходит анализ в анализаторе 250 на наличие признаков вторжений или сетевой атаки (например, сетевая атака «человек посередине» от англ. Man in the middle, MITM) в компьютерной сети 205а.

В частном варианте реализации анализатор 250 использует технологию DPI (англ. Deep packet inspection – технология накопления статистических данных, проверки и фильтрации сетевых пакетов по их содержимому) и технологию IDS (англ. Intrusion detection system – система обнаружения вторжений).

Средство формирования событий 260 предназначено для формирования событий информационной безопасности. В случае выявления аномалии в сетевом трафике анализатор 250 передает эту информацию средству формирования событий 260. После чего средство формирования событий 260 формирует событие на основании полученной информации из сетевого трафика. Сформированное событие также сохраняется в базу данных 270. Сформированное событие содержит по меньшей мере ip/mac-адрес, идентифицирующий ПЛК 210 средство 230 или средство 235, а также метку времени и тип события, например срабатывание IDS. Событиями являются, например, неразрешенное сетевое соединение, отключение датчика, неавторизованный доступ к компьютеру.

База данных 270 предназначена для хранения событий, которые формирует средство формирования событий 260, а также для хранения сетевого трафика, к которому относится сформированное событие.

Далее система 200 описывается с вариантом взаимодействия между ПЛК 210 и средством 230.

Система 200 реализуется следующим образом: сервер 240 обнаруживает передачу данных по TCP-сессии с сетевого коммутатора 220, при взаимодействии ПЛК 210 и средством 230 в компьютерной сети 205а. Между ПЛК 210 и средством 230 происходит обмен сетевыми пакетами. Каждый участник TCP-сессии подтверждает полученный сетевой пакет, который отправил другой участник. Например, средство 130 отправило на ПЛК 210 сетевой пакет размером по меньшей мере 64 байта, ПЛК 210 подтверждает, что получил сетевой пакет размером 64 байта. И наоборот, когда ПЛК 210 отправляет средству 230 сетевой пакет размером по меньшей мере 64 байта, средство 230 подтверждает, что получило сетевой пакет размером 64 байта от ПЛК 210. Взаимодействие между средством 230 и ПЛК 210 осуществляется через сетевой коммутатор 220.

Далее сервер 240 осуществляет процесс зеркалирования обнаруженного сетевого трафика между ПЛК 210, средством 230 для получения копии передаваемых данных с сетевого коммутатора 220. Зеркалирование обнаруженного сетевого трафика осуществляется с порта сетевого коммутатора 220 в анализатор 250 на сервере 240.

По мере поступления зеркалированного сетевого трафика анализатор 250 осуществляет сбор TCP-сессии из получаемой копии передаваемых данных с использованием по меньшей мере одного эвристического правила для определения потери по меньшей мере одного сетевого пакета в сетевом трафике, при этом сбор TCP-сессии продолжается, если после потери по меньшей мере одного сетевого пакета сетевые пакеты продолжают поступать.

Полученными данными являются как сетевые пакеты, полученные до потери, так и данные, полученные после потерянных сетевых пакетов. Стоит отметить, что потери сетевых пакетов происходят при зеркалировании сетевого трафика от сетевого коммутатора 220 в анализатор 250.

Использование эвристического правила анализатором 250 позволяет осуществлять непрерывный сбор TCP-сессии из зеркалированного сетевого трафика при потере по меньшей мере одного сетевого пакета. Указанное эвристическое правило срабатывает в тот момент, когда после полученных сетевых пакетов анализатором 250 перестают поступать сетевые пакеты от сетевого коммутатора 220, например, в случае потери по меньшей мере одного сетевого пакета. При этом сбор TCP-сессии анализатором 250 не сбрасывается, а продолжается, пропуская потерянный сетевой пакет. Так как причинами, по которым сетевые пакеты могут перестать поступать в анализатор 250, являются окончание TCP-сессии между участниками, перегруженность SPAN-порта сетевого коммутатора 220, передача большого объема сетевого трафика и другие различные причины, известные из уровня техники, которые напрямую не влияют на сбор передаваемых данных во время TCP-сессии, эвристическое правило не позволяет останавливать сбор TCP-сессии, и анализатор 250 продолжает получать зеркалированный сетевой трафик с некоторым количеством пропущенных сетевых пакетов.

На Фиг. 3 представлен пример решения заявленной технической проблемы сбора TCP-сессии из зеркалированного сетевого трафика при возникновении потери сетевых пакетов.

На представленной Фиг. 3 схематично изображена TCP-сессия между участниками (например, ПЛК 210 и средством 230). Зеркалирование сетевого трафика от сетевого коммутатора 220 в анализатор 250 начинается с момента запуска процесса зеркалирования сетевого трафика с сетевого коммутатора 220 в анализатор 250. При этом запуск процесса зеркалирования сетевого трафика может осуществляться как с момента создания TCP-сессии между ПЛК 210 и средством 230 (т.е. с передачи первого пакета), так и со второго сетевого пакета или, например с пятого сетевого пакета. В примере указанном на Фиг. 3 зеркалирование сетевого трафика началось со второго сетевого пакета TCP-сессии между ПЛК 210 и средством 230. В зеркалированном сетевом трафике после передачи третьего сетевого пакета произошла потеря четвертого сетевого пакета, т.е. анализатор не получил четвертый сетевой пакет. Далее анализатор получает пятый сетевой пакет, при этом в анализаторе 250 срабатывает эвристическое правило. Эвристическое правило указывает, что произошла потеря по меньшей мере одного сетевого пакета при проверке собираемой TCP-сессии (т.е. при получении сетевых пакетов). Например, эвристическое правило определило потерю сетевого пакета на основании того, что при проверке получаемых сетевых пакетов во время сбора TCP-сессии было обнаружено, что в пятом сетевом пакете была информация о подтверждении получения четвертого сетевого пакета средством 230 от ПЛК 210. Но при этом четвертый сетевой пакет анализатор 250 не получил, и в собираемой TCP-сессии сетевой пакет отсутствует. При этом анализатор 250 продолжает сбор TCP-сессии из зеркалированного сетевого трафика даже при наличии потерянных сетевых пакетов. Также стоит отметить, что потери сетевых пакетов могут быть последовательными, например, потеря третьего сетевого пакета, пятого сетевого пакета, седьмого сетевого пакета. Также у эвристического правила имеется таймаут, например, 90 секунд, в течение которого анализатор 250 не останавливает сбор TCP-сессии. Если в течение периода таймаута не пришло ни одного сетевого пакета, анализатор 250 останавливает сбор TCP-сессии.

В случае, если в анализатор 250 поступили сетевые пакеты после потерянного сетевого пакета, анализатор 250 продолжает сбор TCP-сессии до момента, когда TCP-сессия между ПЛК 210 и средством 230 не закончится. В свою очередь даже при окончании TCP-сессии между участниками у анализатора 250 срабатывает эвристическое правило, и остановка сбора TCP-сессии из зеркалированного сетевого трафика заканчивается только по истечении таймаута эвристического правила. Анализатор 250 дополнительно проводит анализ собранной TCP-сессии для контроля технологического процесса, а также для выявления аномалий. Например, при анализе собираемой TCP-сессии была зафиксирована подозрительная активность в сетевом трафике, выраженная в увеличении передаваемых сетевых пакетов в секунду между ПЛК 210 и средством 130. Эвристическое правило в анализаторе 250 позволяет осуществлять непрерывный сбор TCP-сессии, что напрямую влияет на качество последующего анализа этой сессии. Без эвристического правила сбор TCP-сессии анализатором 250 соответственно будет не качественным ввиду постоянных сбросов из-за потери по меньшей мере одного сетевого пакета. При этом за период восстановления сбора этой TCP-сессии пропускается еще некоторое количество сетевых пакетов, что приведет к большим пропускам в конечной собранной TCP-сессии. Последующий анализ такой сессии с большими пропусками практически не позволит восстановить контекст данной сессии, а также существует риск пропуска аномалии.

В частном варианте реализации при анализе TCP-сессии была выявлена аномалия, например, произошел разрыв TCP-сессии между ПЛК 210 и средством 230. Данная аномалия была выявлена с использованием эвристического правила на основании того, что в анализатор 250 перестали поступать зеркалированные сетевые пакеты в течение периода таймаута, например 90 секунд. Анализатор 250 передает информацию о выявленной аномалии в средство формирования событий 260 и сохраняет сетевой трафик, относящийся к аномалии в базу данных 270. Средство формирования событий 260 на основе полученной информации об аномалии от анализатора 250 формирует событие.

Далее Фиг. 4 – Фиг. 7 иллюстрируют пример, в котором осуществляется сбор TCP-сессии анализатором 250 с применением эвристического правила. На указанных Фиг. 4 – Фиг. 7 представлен пример интерфейса сервера 240.

На Фиг. 4 представлен пример настройки ПЛК 210. Настройка ПЛК 210 осуществляется средством 235. На указанной Фиг. 4 в качестве примера ПЛК 210 выступает ПЛК SIMATIC S7-300 компании Siemens. Данный ПЛК представляет собой модульный программируемый контроллер для решения задач автоматического управления низкой и средней степени сложности. Также на Фиг. 4 отображены два рабочих окна: в левом окне во вкладке «Devices» выбран ПЛК 210, а правое окно показывает механизм настройки ПЛК 210, в частности параметры настроенных протоколов. Средство 235 определяет ПЛК 210, устанавливая его тип, протокол и другие параметры.

Далее на Фиг. 5 представлен пример установления правила технологического процесса для ПЛК 210. На Фиг. 5 отображены два рабочих окна: в левом окне во вкладке «Rules» выбран ПЛК 210, а в правом окне располагается пример правила контроля технологического процесса. Средство 230 устанавливает для ПЛК 210 правило контроля технологического процесса с именем r_l1gen2, которое анализатор 250 должен получить во время сбора TCP-сессии при получении значения тега с именем l1gen2.

На Фиг. 6 представлен пример сбора TCP-сессии анализатором 250 из зеркалированного сетевого трафика, поступающего от сетевого коммутатора 220. Фиг. 6 отображает окно с вкладкой «Event and incidents», на котором выделен ПЛК 210 «PLC GET PROTECTION LEVEL». При этом анализатор 250 в процессе сбора TCP-сессии ожидает появление значения тега с именем l1gen2, установленным ранее.

Анализатор 250 при сборе TCP-сессии применяет эвристическое правило, которое срабатывает при потерях сетевых пакетов. В TCP протоколе информация о теге может быть разнесена во времени TCP-сессии. Например, в начале зеркалирования ТСР-сессии были получены сетевые пакеты, контекст которых содержит информацию об адресе указанного тега. На всем протяжении зеркалирования сетевого трафика используется эвристическое правило с целью не терять контекст и через определенное время получить имя и значение тега.

На Фиг. 7 представлен пример срабатывания эвристического правила при сборе TCP-сессии, которая не прервалась от потери некоторого количества сетевых пакетов. На указанной Фиг. 7 TCP-сессия выделена в окне «Network sessions» со статусом «Active». Также на Фиг.7 в разделе «Events and incidents» видно, что при сборе TCP-сессии анализатором 250 был выявлен потерянный сетевой пакет «No traffic at monitoring point P», при этом сбор TCP-сессии не прервался за счет эвристического правила, и анализатор 250 продолжает далее осуществлять сбор TCP-сессии. Во время сбора TCP-сессии анализатор 250 получил тег с именем l1gen2 и отправил информацию в средство формирования событий 260, после чего средство формирования событий 260 сформировало событие по правилу r_l1gen2, указанному ранее по Фиг. 5. В указанном примере формирование события и сохранение его в базу данных 270 необходимо для контроля технологического процесса.

Однако события формируются не только для контроля технологического процесса, как в указанном примере, но и в случае возникновения аномалий. События формируются при анализе собираемой TCP-сессии.

В качестве еще одного примера рассмотрим ситуацию, в которой злоумышленник имеет доступ к средству 235 и использует его для взаимодействия с ПЛК 210. Злоумышленник со средства 235 отправляет не характерную для технологического процесса команду на ПЛК 210. В это время анализатор 250 получает зеркалированный сетевой трафик TCP-сессии и использует эвристическое правило, указанное ранее. С использованием эвристического правила анализатор 250 собирает TCP-сессию из зеркалированного сетевого трафика с некоторыми потерями сетевых пакетов. При анализе собранной TCP-сессии выявляется аномалия в работе ПЛК 210. После чего анализатор 250 отправляет данные с выявленной аномалией в средство формирования событий 260 и сохраняет сетевой трафик в базу данных 270. Средство формирования событий 260 на основе полученных данных с аномалией формирует событие. На основе анализа сетевого трафика и сформированного события выявляется, что средство 235 скомпрометировано. В приведенном примере в случае отсутствия эвристического правила у анализатора 250 выявление аномалии при анализе было бы невозможным или осложнялось из-за большого количества пропущенных сетевых пакетов при восстановлении зеркалирования TCP-сессии либо полной остановки сбора TCP-сессии. В свою очередь, промедление в выявлении аномалий может привести к серьезным последствиям (например, к выходу из строя контролируемого оборудования, нарушению технологического процесса в целом и т.д.).

На Фиг. 8 представлен способ 800 сбора данных TCP-сессии между участниками (далее – способ 800).

Способ 800 осуществляется при помощи системы 200, в которой осуществляют передачу данных между средством диспетчеризации 230 и ПЛК 210 или средством конфигурирования 235 и ПЛК 210. В качестве примера данных, передающихся между ПЛК 210, средством 230 или средством 235, является передача параметров технологического процесса, таких как значение температуры, давления и тому подобных. В одном из вариантов реализации средством 235 осуществляют настройку ПЛК 210. ПЛК 210, средство 230 или средство 235 являются участниками TCP-сессии. Стоит отметить, что ПЛК 210, сетевой коммутатор 220, средство 230, средство 235 объединены компьютерной сетью 205а, а сервер 240 является частью другой компьютерной сети, например, компьютерной сети 205б. При этом сервер 240 содержит по меньшей мере анализатор 250 и базу данных 270. В одном варианте реализации сервер 240 дополнительно содержит средство формирования событий 260.

В одном из вариантов реализации вместо ПЛК 210 может использоваться, например, компьютер, микроконтроллер или любое другое вычислительное устройство, осуществляющее взаимодействие по TCP протоколу.

Данные передаются в виде сетевых пакетов. Полученными данными являются данные, полученные до потери сетевых пакетов, так и данные, полученные после потерянных сетевых пакетов. Анализатор 250 извлекает из сетевых пакетов значения параметров технологического процесса, а также обнаруживает в сетевом трафике команды, которые передаются между средством 230 или средством 235 и ПЛК 210.

Далее по тексту в качестве примера взаимодействия участников будут рассматриваться ПЛК 210 и средство 230.

На шаге 810 обнаруживают сервером 240 передачу сетевого трафика по TCP-сессии между ПЛК 210 и средством 230 в компьютерной сети 205а. Взаимодействие средства 230 с ПЛК 210 обеспечивается через сетевой коммутатор 220. Сетевой коммутатор 220 предназначен для соединения ПЛК 210 со средством 230 в пределах компьютерной сети 205а. Также сетевой коммутатор 220 предназначен для зеркалирования сетевого трафика и передачи его на сервер 240 в анализатор 250.

Далее на шаге 820 осуществляют при помощи сетевого коммутатора 220 зеркалирование обнаруженного сетевого трафика с сетевого коммутатора 220 для получения копии передаваемых данных на сервер 240 в компьютерной сети 205б. Сетевой коммутатор 220 содержит отдельный порт для зеркалирования сетевого трафика в анализатор 250. При этом взаимодействие ПЛК 210 со средством 230 осуществляют через другие порты на сетевом коммутаторе 220, не предназначенные для зеркалирования сетевого трафика. Примером порта сетевого коммутатора 220, с которого передается зеркалированный сетевой трафик в анализатор 250, является SPAN-порт.

На шаге 830 осуществляют сбор TCP-сессии анализатором 250 из получаемой копии передаваемых данных с использованием по меньшей мере одного эвристического правила для определения допустимой потери, включающей потерю по меньшей мере одного сетевого пакета в сетевом трафике, при этом продолжают сбор ТСР-сессии, если после допустимой потери сетевые пакеты продолжают поступать. Стоит отметить, что сбор TCP-сессии осуществляют не с самого начала TCP-сессии между ПЛК 210 и средством 230, а с момента зеркалирования сетевого трафика сетевым коммутатором 220 в анализатор 250. Допустимой потерей является потеря по меньшей мере одного сетевого пакета в сетевом трафике при зеркалировании. Стоит отметить, что в течение всего процесса зеркалирования ТСР-сессии может быть потеряно и более одного сетевого пакета, но не должны быть потери двух и более сетевых пакетов подряд. Например, если были потеряны сетевые пакеты два, четыре и восемь, то такой случай является допустимой потерей. В одном варианте реализации эвристическое правило содержит дополнительное условие, при котором анализатором 250 осуществляют сбор ТСР-сессии до момента, пока эвристическое правило не определит недопустимую потерю. Недопустимой потерей сетевых пакетов является потеря двух и более сетевых подряд. Например, если были потеряны сетевые пакеты два, три, т.е. подряд два и более, то такой случай является недопустимой потерей. В свою очередь потеря подряд двух и более сетевых пакетов является недопустимой потерей, из-за которой будет невозможен последующий анализ собранной ТСР-сессии. В частном варианте реализации дополнительное условие у эвристического правила, при котором анализатор 250 останавливает сбор в зависимости от количества потерянных подряд сетевых пакетов, является настраиваемым параметром.

Эвристическое правило, используемое анализатором 250, применяется для продолжения сбора TCP-сессии при наличии потерянных сетевых пакетов. Использование эвристического правила анализатором 250 позволяет осуществлять непрерывный сбор TCP-сессии, что напрямую влияет на качество последующего анализа этой сессии. Указанное эвристическое правило срабатывает в тот момент, когда после полученных сетевых пакетов анализатором 250 перестают поступать сетевые пакеты от сетевого коммутатора 220, например, в случае потери по меньшей мере одного сетевого пакета. При этом сбор TCP-сессии анализатором 250 не останавливается, а продолжается, пропуская потерянный сетевой пакет. Например, эвристическое правило определило потерю сетевого пакета на основании того, что при проверке получаемых сетевых пакетов во время TCP-сессии было обнаружено, что в одном из полученных сетевых пакетов содержится информация о подтверждении получения другого сетевого пакета средством 230 от ПЛК 210. При этом сетевой пакет анализатор 250 не получил, и в собираемой TCP-сессии сетевой пакет отсутствует. Соответственно, срабатывает эвристическое правило на продолжение анализатором 250 сбора TCP-сессии с потерянным сетевым пакетом.

Стоит отметить, что потери сетевых пакетов происходят при зеркалировании сетевого трафика от сетевого коммутатора 220 в анализатор 250.

В случае, если на шаге 840 поступают сетевые пакеты после потерянных сетевых пакетов, то на шаге 850 продолжают сбор TCP-сессии анализатором 250. В другом варианте реализации, если на шаге 840 не поступают сетевые пакеты после потерянных сетевых пакетов, то на шаге 860 останавливают сбор TCP-сессии анализатором 250. В еще одном варианте реализации анализатором 250 продолжают сбор ТСР-сессии в течение действия времени таймаута эвристического правила, даже в случае окончания ТСР-сессии между участниками. Стоит отметить, что у эвристического правила в анализаторе 250 содержится таймаут, например 90 секунд, в течение которого анализатор 250 ожидает поступления сетевых пакетов после потерянных данных, не останавливая сбор TCP-сессии. По истечении времени таймаута, если не было получено ни одного сетевого пакета, анализатор 250 останавливает сбор TCP-сессии.

В частном варианте реализации таймаут эвристического правила является настраиваемым параметром.

В одном варианте реализации анализатор 250 дополнительно проводит анализ собранной TCP-сессии из зеркалированного сетевого трафика для контроля технологического процесса или для выявления аномалий в сетевом трафике TCP-сессии. На основе анализа собранной TCP-сессии создают событие информационной безопасности для контроля технологического процесса или в случае возникновения аномалии. Созданное событие безопасности сохраняют в базу данных 270, а также сохраняют сетевой трафик, относящийся к этому событию. В частном варианте реализации сохраненный сетевой трафик в базе данных 270 дополнительно проходит анализ в анализаторе 250 на наличие признаков вторжений или сетевой атаки в компьютерной сети 205а.

Как показано на Фиг. 9, компьютерная система 20 включает в себя: центральный процессор 21, системную память 22 и системную шину 23, которая связывает разные системные компоненты, в том числе память, связанную с центральным процессором 21. Системная шина 23 реализована, как любая известная из уровня техники шинная структура, содержащая в свою очередь память шины или контроллер памяти шины, периферийную шину и локальную шину, способную взаимодействовать с любой другой шинной архитектурой. Примерами шин являются: PCI, ISA, PCI-Express, HyperTransport™, InfiniBand™, Serial ATA, I2C и другие подходящие соединения между компонентами компьютерной системы 20. Центральный процессор 21 содержит один или несколько процессоров, имеющих одно или несколько ядер. Центральный процессор 21 исполняет один или несколько наборов машиночитаемых инструкций, реализующих способы, представленные в настоящем документе. Системная память 22 может быть любой памятью для хранения данных и/или компьютерных программ, исполняемых центральным процессором 21. Системная память может содержать как постоянное запоминающее устройство (ПЗУ) 24, так и память с произвольным доступом (ОЗУ) 25. Основная система ввода/вывода (BIOS) 26, содержит основные процедуры, которые обеспечивают передачу информации между элементами компьютерной системы 20, например, в момент загрузки операционной системы с использованием ПЗУ 24.

Компьютерная система 20 включает в себя одно или несколько устройств хранения данных, таких как одно или несколько извлекаемых запоминающих устройств 27, одно или несколько неизвлекаемых запоминающих устройств 28, или комбинации извлекаемых и неизвлекаемых устройств. Одно или несколько извлекаемых запоминающих устройств 27 и/или неизвлекаемых запоминающих устройств 28 подключены к системной шине 23 через интерфейс 32. В одном из вариантов реализации извлекаемые запоминающие устройства 27 и соответствующие машиночитаемые носители информации представляют собой энергонезависимые модули для хранения компьютерных инструкций, структур данных, программных модулей и других данных компьютерной системы 20. Системная память 22, извлекаемые запоминающие устройства 27 и неизвлекаемые запоминающие устройства 28 могут использовать различные машиночитаемые носители информации. Примеры машиночитаемых носителей информации включают в себя машинную память, такую как кэш-память, SRAM, DRAM, ОЗУ не требующую конденсатора (Z-RAM), тиристорную память (T-RAM), eDRAM, EDO RAM, DDR RAM, EEPROM, NRAM, RRAM, SONOS, PRAM; флэш-память или другие технологии памяти, такие как твердотельные накопители (SSD) или флэш-накопители; магнитные кассеты, магнитные ленты и магнитные диски, такие как жесткие диски или дискеты; оптические носители, такие как компакт-диски (CD-ROM) или цифровые универсальные диски (DVD); и любые другие носители, которые могут быть использованы для хранения нужных данных и к которым может получить доступ компьютерная система 20.

Системная память 22, извлекаемые запоминающие устройства 27 и неизвлекаемые запоминающие устройства 28, содержащиеся в компьютерной системе 20 используются для хранения операционной системы 35, приложений 37, других программных модулей 38 и программных данных 39. Компьютерная система 20 включает в себя периферийный интерфейс 46 для передачи данных от устройств ввода 40, таких как клавиатура, мышь, стилус, игровой контроллер, устройство голосового ввода, устройство сенсорного ввода, или других периферийных устройств, таких как принтер или сканер через один или несколько портов ввода/вывода, таких как последовательный порт, параллельный порт, универсальная последовательная шина (USB) или другой периферийный интерфейс. Устройство отображения 47, такое как один или несколько мониторов, проекторов или встроенных дисплеев, также подключено к системной шине 23 через выходной интерфейс 48, такой как видеоадаптер. Помимо устройств отображения 47, компьютерная система 20 оснащена другими периферийными устройствами вывода (на Фиг. 9 не показаны), такими как динамики и другие аудиовизуальные устройства.

Компьютерная система 20 может работать в сетевом окружении, используя сетевое соединение с одним или несколькими удаленными компьютерами 49. Удаленный компьютер (или компьютеры) 49 является рабочим персональным компьютером или сервером, который содержит большинство или все упомянутые компоненты, отмеченные ранее при описании сущности компьютерной системы 20, представленной на Фиг. 9. В сетевом окружении также могут присутствовать и другие устройства, например, маршрутизаторы, сетевые станции или другие сетевые узлы. Компьютерная система 20 может включать один или несколько сетевых интерфейсов 51 или сетевых адаптеров для связи с удаленными компьютерами 49 через одну или несколько сетей, таких как локальная компьютерная сеть (LAN) 50, глобальная компьютерная сеть (WAN), интранет и Интернет. Примерами сетевого интерфейса 51 являются интерфейс Ethernet, интерфейс Frame Relay, интерфейс SONET и беспроводные интерфейсы.

Варианты раскрытия настоящего изобретения могут представлять собой систему, способ или машиночитаемый носитель (или носитель) информации.

Машиночитаемый носитель информации является осязаемым устройством, которое сохраняет и хранит программный код в форме машиночитаемых инструкций или структур данных, к которым имеет доступ центральный процессор 21 компьютерной системы 20. Машиночитаемый носитель может быть электронным, магнитным, оптическим, электромагнитным, полупроводниковым запоминающим устройством или любой подходящей их комбинацией. В качестве примера, такой машиночитаемый носитель информации может включать в себя память с произвольным доступом (RAM), память только для чтения (ROM), EEPROM, портативный компакт-диск с памятью только для чтения (CD-ROM), цифровой универсальный диск (DVD), флэш-память, жесткий диск, портативную компьютерную дискету, карту памяти, дискету или даже механически закодированное устройство, такое как перфокарты или рельефные структуры с записанными на них инструкциями.

Система и способ, настоящего изобретения, может быть рассмотрен в терминах средств. Термин «средство», используемый в настоящем документе, относится к реальному устройству, компоненту или группе компонентов, реализованных с помощью аппаратного обеспечения, например, с помощью интегральной схемы, специфичной для конкретного приложения (ASIC) или FPGA, или в виде комбинации аппаратного и программного обеспечения, например, с помощью микропроцессорной системы и набора машиночитаемых инструкций для реализации функциональности средства, которые (в процессе выполнения) превращают микропроцессорную систему в устройство специального назначения. Средство также может быть реализовано в виде комбинации этих двух компонентов, при этом некоторые функции могут быть реализованы только аппаратным обеспечением, а другие функции - комбинацией аппаратного и программного обеспечения. В некоторых вариантах реализации, по крайней мере, часть, а в некоторых случаях и все средство может быть выполнено на центральном процессоре 21 компьютерной системы 20. Соответственно, каждое средство может быть реализовано в различных подходящих конфигурациях и не должно ограничиваться каким-либо конкретным вариантом реализации, приведенным в настоящем документе.

В заключение следует отметить, что приведенные в описании сведения являются примерами, которые не ограничивают объем настоящего изобретения, определенного формулой. Специалисту в данной области становится понятным, что при разработке любого реального варианта осуществления настоящего изобретения необходимо принять множество решений, специфических для конкретного варианта осуществления, для достижения конкретных целей, и эти конкретные цели будут разными для разных вариантов осуществления. Понятно, что такие усилия по разработке могут быть сложными и трудоемкими, но, тем не менее, они будут обычной инженерной задачей для тех, кто обладает обычными навыками в данной области, пользуясь настоящим раскрытием изобретения.

Группа изобретений относится к области информационной безопасности и может быть использована для сбора данных TCP-сессии между участниками. Техническим результатом является обеспечение непрерывного сбора данных TCP-сессии в процессе зеркалирования сетевого трафика. Способ содержит этапы, на которых: а) обнаруживают передачу сетевого трафика по TCP-сессии между участниками в одной компьютерной сети; б) осуществляют зеркалирование обнаруженного сетевого трафика для получения копии передаваемых данных на сервере, расположенном в другой компьютерной сети; в) осуществляют сбор TCP-сессии из получаемой копии передаваемых данных с использованием по меньшей мере одного эвристического правила для определения допустимой потери, включающей потерю по меньшей мере одного сетевого пакета в сетевом трафике, при этом продолжают сбор TCP-сессии, если после допустимой потери сетевые пакеты продолжают поступать. 2 н. и 14 з.п. ф-лы, 9 ил.

1. Способ сбора данных TCP-сессии между участниками, включающий этапы, на которых:

а) обнаруживают передачу сетевого трафика по TCP-сессии между участниками в одной компьютерной сети;

б) осуществляют зеркалирование обнаруженного сетевого трафика для получения копии передаваемых данных на сервере, расположенном в другой компьютерной сети;

в) осуществляют сбор TCP-сессии из получаемой копии передаваемых данных с использованием по меньшей мере одного эвристического правила для определения допустимой потери, включающей потерю по меньшей мере одного сетевого пакета в сетевом трафике, при этом продолжают сбор TCP-сессии, если после допустимой потери сетевые пакеты продолжают поступать.

2. Способ по п. 1, в котором эвристическое правило содержит дополнительное условие, при котором осуществляют сбор TCP-сессии до момента, пока эвристическое правило не определит недопустимую потерю.

3. Способ по п. 2, в котором недопустимой потерей сетевых пакетов является потеря двух и более сетевых пакетов подряд.

4. Способ по п. 1, в котором данные TCP-сессии содержат параметры технологического процесса.

5. Способ по п. 1, в котором дополнительно проводят анализ собранной TCP-сессии из зеркалированного сетевого трафика для контроля технологического процесса или выявления аномалии в сетевом трафике TCP-сессии.

6. Способ по п. 5, в котором на основе анализа собранной TCP-сессии создают событие информационной безопасности для контроля технологического процесса или в случае возникновения аномалии.

7. Способ по п. 6, в котором созданное событие информационной безопасности сохраняют в базу данных, а также сохраняют сетевой трафик, относящийся к этому событию.

8. Система сбора данных ТСР-сессии между участниками, характеризующаяся тем, что содержит:

а) сетевой коммутатор, предназначенный для зеркалирования сетевого трафика, при взаимодействии по ТСР-сессии участников компьютерной сети, а также передачи указанного сетевого трафика, содержащего копию передаваемых данных, на сервер в другой компьютерной сети;

б) сервер, расположенный в другой компьютерной сети, осуществляющий обнаружение передачи данных по ТСР-сессии при помощи взаимодействия с сетевым коммутатором, который определяет взаимодействие между участниками по ТСР-сессии, при этом сервер содержит по меньшей мере:

- анализатор, предназначенный для осуществления сбора TCP-сессии из получаемой копии передаваемых данных с использованием по меньшей мере одного эвристического правила для определения допустимой потери, включающей потерю по меньшей мере одного сетевого пакета в сетевом трафике, при этом сбор TCP-сессии продолжается, если после допустимой потери сетевые пакеты продолжают поступать;

- базу данных для хранения зеркалированного сетевого трафика.

9. Система по п. 8, в которой эвристическое правило содержит дополнительное условие, при котором анализатор осуществляет сбор TCP-сессии до момента, пока эвристическое правило не определит недопустимую потерю.

10. Система по п. 9, в которой недопустимой потерей сетевых пакетов является потеря двух и более сетевых пакетов подряд.

11. Система по п. 8, в которой данные ТСР-сессии содержат параметры технологического процесса.

12. Система по п. 8, в которой сервер дополнительно содержит средство формирования событий для формирования событий информационной безопасности.

13. Система по п. 8, в которой анализатор дополнительно проводит анализ собранной ТСР-сессии из зеркалированного сетевого трафика для контроля технологического процесса или выявления аномалии в сетевом трафике ТСР-сессии.

14. Система по п. 13, в которой на основе анализа собранной ТСР-сессии средством формирования событий формируется событие информационной безопасности для контроля технологического процесса или в случае возникновения аномалии.

15. Система по п. 14, в которой сформированное событие информационной безопасности сохраняется в базу данных, а также сохраняется сетевой трафик, относящийся к этому событию.

16. Система по п. 15, в которой сформированное событие информационной безопасности содержит по меньшей мере ip/mac-адрес, идентифицирующий ПЛК, средство диспетчеризации, средство конфигурирования, а также метку времени и тип события.