Способ защиты вычислительных сетей Российский патент 2025 года по МПК G06F21/60 

Изобретение относится к электросвязи и может быть использовано в системах обнаружения атак с целью оперативного выявления и противодействия несанкционированным воздействиям в вычислительных сетях, в частности, в сетях передачи данных типа «Internet», основанных на семействе коммуникационных протоколов TCP/IP (Transmission Control Protocol / Internet Protocol).

Известен способ защиты вычислительных сетей, описанный в статье Antonatos S., Akritidis P., Markatos E., Anagnostakis K. Defending against Hitlist Worms using Network Address Space Randomization 2005 ACM Workshop on Rapid Malcode, Fairfax, VA, USA, на стр. 30-40. Известный способ включает следующую последовательность действий. Подключают сетевые устройства к вычислительной сети. DHCP-сервером задают для сетевых устройств вычислительной сети, от которых поступили запросы, параметры синхронизации установленного часового пояса, времени продолжительности аренды t_ap и IP-адреса. После этого устанавливают сетевые соединения между сетевыми устройствами сети. По окончании времени продолжительности аренды IP-адресов t_ap формируют на DHCP-сервере в случайном порядке новые IP-адреса в текущей подсети и другие сетевые параметры для каждого из сетевых устройств вычислительной сети. Для сетевых устройств, между которыми не установлено критическое соединение задают новые IP-адреса, на которые они переходят по истечении времени аренды t_ap, а для сетевых устройств, между которыми установлено критическое соединение, продлевают аренду IP-адресов на такое же время t_ap, до конца активности соединения, после чего сетевые устройства переходят на новые IP-адреса в текущей подсети. Очередной переход на новые IP-адреса осуществляется по истечении времени t_ap.

Недостатком данного способа является его относительно узкая область применения, относительно низкая результативность и относительно высокая ресурсоемкость защиты. Узкая область применения обусловлена тем, что изменение IP-адресов узлов защищаемой вычислительной сети происходит в рамках одной подсети, что накладывает ограничение на используемый диапазон перестройки параметров защищаемой вычислительной сети, состоящей из относительно большого количества IP-адресов узлов. Это может привести к возможности вычисления нарушителем алгоритма перестройки IP-адресов узлов защищаемой вычислительной сети и принятию им мер по обходу системы защиты. Относительно низкая результативность связана с изменением IP-адресов узлов защищаемой вычислительной сети через фиксированный промежуток времени t_ap вне зависимости от условий функционирования и действий нарушителя. Это может привести к несвоевременному переводу вычислительной сети в заранее определенную конфигурацию, влекущему за собой пропуск несанкционированного воздействия или ложное срабатывание системы защиты. Относительно высокая ресурсоемкость способа связана с возможностью его ложного срабатывания, что может привести к необоснованному увеличению вычислительного ресурса на изменение конфигурации параметров вычислительной сети.

Известен «Способ защиты вычислительных сетей» по патенту РФ №2716220 МПК G06P 21/60, H04L 29/06 опубл. 06.03.2020 г. Известный способ включает следующую последовательность действий. Подключают сетевые устройства к вычислительной сети. Формируют DHCP-сервером для сетевых устройств вычислительной сети параметры синхронизации установленного часового пояса и времени, назначенные IP-адреса и время их аренды, номер подсети. Затем устанавливают сетевые соединения между сетевыми устройствами вычислительной сети. После приема из канала связи пакета сообщения, выделяют из заголовка принятого пакета сообщения идентификатор информационного потока. В случае, если идентификатор информационного потока и IP-адрес отправителя пакета сообщения является несанкционированным, формируют и направляют сетевым устройствам от DHCP-сервера ответные сообщения, содержащие новый номер подсети, IP-адреса для новой подсети, их время продолжительности аренды для новой подсети, следующий номер подсети, IP-адрес DHCP-сервера, параметры синхронизации установленного часового пояса и времени.

Недостатком данного способа является его относительно низкая результативность защиты, обусловленная высокими возможностями нарушителя по обнаружению факта использования средств защиты вычислительной сети и идентификации их характеристик. Это обусловлено тем, что после синхронного изменения сетевых параметров устройств исходной подсети на сетевые параметры в новой подсети, в исходной подсети, где ранее был организован сетевой информационный обмен, таковой будет отсутствовать и не останется активных IP-адресов сетевых устройств. Данное обстоятельство может привести к компрометации используемых средств защиты и идентификации их характеристик в случае перехвата сетевого трафика или сетевого сканирования вычислительной сети нарушителем, а также к изменению нарушителем стратегии вредоносного воздействия.

Наиболее близким по своей технической сущности к заявленному, способом-прототипом является «Способ защиты вычислительных сетей» по патенту РФ №2789810 МПК G06P 21/60, H04L 9/40 опубл. 10.02.2023 г. Известный способ-прототип включает следующую последовательность действий. В течение заданного времени считывают параметры сетевого трафика в защищаемой подсети и вычисляют его показатель самоподобия. В случае обнаружения несанкционированных информационных потоков завершают аренду ранее назначенных сетевых параметров сетевых устройств в исходной подсети. После чего задают в исходной подсети сетевое устройство для формирования и направления ложного сетевого трафика. Затем формируют и назначают новые сетевые параметры в новой подсети всем сетевым устройствам, кроме заданного сетевого устройства для формирования и направления ложного сетевого трафика. Затем сравнивают вычисленный показатель самоподобия сетевого трафика с множеством требуемых его значений. В случае их несоответствия формируют и направляют в исходную подсеть ложный трафик с полностью случайными параметрами. В ином случае формируют для каждого из параметров сетевого трафика математические модели, в соответствии с которыми формируют и направляют в течение заданного времени в исходную подсеть информационные потоки самоподобного сетевого трафика. По истечении заданного времени направления в исходную подсеть ложного сетевого трафика назначают заданному для этого сетевому устройству новые сетевые параметры в новой подсети.

Недостатком способа-прототипа является его относительно низкая результативность защиты, обусловленная высокими возможностями нарушителя по обнаружению факта использования средств защиты вычислительной сети и идентификации их характеристик. Это обусловлено тем, что формирование ложного сетевого трафика в случае несоответствия вычисленного показателя самоподобия сетевого трафика с множеством требуемых его значений осуществляется с полностью случайными параметрами, либо в противном случае в соответствии с математическими моделями самоподобного сетевого трафика. Данное обстоятельство при формировании ложного сетевого трафика в соответствии с математическими моделями самоподобного сетевого трафика приводит к наличию значительной автокорреляционной связи между моментами времени направления пакетов ложного сетевого трафика, что может привести к компрометации используемых средств защиты и идентификации их характеристик в случае перехвата и анализа динамических характеристик сетевого трафика нарушителем, а также к изменению нарушителем стратегии вредоносного воздействия.

Целью заявленного технического решения является разработка способа защиты вычислительных сетей, обеспечивающего повышение результативности защиты за счет снижения возможностей нарушителя по компрометации средств защиты и его введения в заблуждение. Это достигается формированием ложного сетевого трафика в исходной подсети после изменения текущих параметров сетевых устройств на новые параметры в новой подсети с динамическими характеристиками.

Поставленная цель достигается тем, что в известном способе защиты вычислительных сетей предварительно задают IP={IP₁, IP₂, …, IP_n} множество IP-адресов сетевых устройств вычислительной сети, являющихся DHCP-клиентами DHCP-сервера, где n - максимальное допустимое значение количества IP-адресов сетевых устройств вычислительной сети. Далее задают подмножества d во множестве IP-адресов сетевых устройств вычислительной сети где d - номер подсети DHCP-сервера, d=1, 2 … z, где z - максимальное количество подсетей, для каждого подмножества d. После этого задают IP-адреса DHCP-серверов, где - IP-адрес DHCP-сервера, Затем предварительно задают массив памяти D=[1, 2, …, z] для хранения номеров подсетей DHCP-сервера и -максимальное значение времени аренды всех IP-адресов подсети с номером d. Далее задают С={CIP₁, CIP₂, …, CIP_m} множество соединений между сетевыми устройствами вычислительной сети, где CIP_m - идентификатор соединения между сетевыми устройствами вычислительной сети, который содержит в себе IP-адрес отправителя с, и получателя b, тип протокола взаимодействия, порты взаимодействия, где m - максимальное допустимое количество соединений между сетевыми устройствами вычислительной сети. Далее предварительно задают массив памяти C_i=[CIP₁, CIP₂, …, CIP_m] для хранения идентификаторов CIP_m и множество идентификаторов санкционированных информационных потоков TS≥1. После этого предварительно задают MAC={MAC₁, МАС2, …, MAC_l} множество МАС-адресов сетевых устройств вычислительной сети, где l - максимальное количество сетевых устройств в вычислительной сети. Далее задают массив памяти N_A для хранения матрицы соответствия n-му IP-адресу сетевого устройства из множества IP-адресов l-го МАС-адреса из массива памяти MAC. После этого задают - множество IP-адресов ложных абонентов подсети d, где F- максимальное допустимое количество IP-адресов сетевых устройств подсети d. Далее задают время t_d направления ложного сетевого трафика в подсеть. Затем подключают сетевые устройства к вычислительной сети. После чего направляют с сетевых устройств вычислительной сети сообщения DHCP-серверу для получения параметров синхронизации установленного часового пояса и времени, номера подсети d, IP-адресов IP^d и времени их аренды, IP-адреса DHCP-cepBepa Далее принимают DHCP-сервером сообщения от сетевых устройств вычислительной сети. Затем формируют для сетевых устройств сообщения, содержащие параметры синхронизации установленного часового пояса и времени, назначенные номер подсети d, IP-адреса IP^d1 и время их аренды, IP-адрес DHCP-сервера После чего направляют сформированные сообщения сетевым устройствам вычислительной сети. Затем принимают каждым сетевым устройством вычислительной сети сообщение от DHCP-сервера. Далее направляют от сетевых устройств вычислительной сети ответные сообщения DHCP-серверу, подтверждающие его выбор. Затем принимают DHCP-сервером сообщения от сетевых устройств вычислительной сети, подтверждающие его выбор. После чего задают сетевым устройством вычислительной сети параметры синхронизации установленного часового пояса и времени, назначенные номер подсети d, IP-адреса IP^d и время их аренды, для DHCP-сервера IP-адрес Далее устанавливают соответствие MAC- и IP-адресов. Затем запоминают соответствие MAC- и IP-адресов в массиве памяти N_A. После чего удаляют из массива памяти N_A, те соответствия сетевых устройств вычислительной сети, от которых не получили сообщения, подтверждающие их выбор. Затем устанавливают соединения между сетевыми устройствами вычислительной сети. Далее назначают установленным соединениям между сетевыми устройствами вычислительной сети идентификаторы CIP_m. Затем запоминают идентификаторы CIP_m, в массиве памяти C_i. После чего принимают из канала связи пакет сообщения. Далее выделяют из заголовка принятого пакета сообщения идентификатор информационного потока. Затем сравнивают его с идентификаторами санкционированных информационных потоков TS и при совпадении выделенного идентификатора информационного потока с идентификаторами санкционированных информационных потоков TS, передают пакет сообщений получателю, после этого принимают из канала связи следующий пакет сообщения. В случае несовпадения выделенного идентификатора с идентификаторами санкционированных информационных потоков TS, сравнивают IP-адрес получателя в принятом пакете сообщений с предварительно заданными ложными IP-адресами абонентов вычислительной сети FIP. При несовпадении IP-адреса получателя в принятом пакете сообщений с предварительно заданными ложными IP-адресами абонентов FIP, игнорируют пакет сообщений. При совпадении IP-адреса получателя в принятом пакете сообщений с предварительно заданными ложными IP-адресами абонентов FIP, сравнивают IP-адрес отправителя пакетов сообщений с каждым IP-адресом сетевого устройства вычислительной сети из множества IP^d. В случае их совпадения исключают MAC-адрес сетевого устройства из массива N_A DHCP-сервера. В случае их несовпадения считывают DHCP-сервером из массива D следующий d=d+1 номер подсети. После этого формируют для сетевых устройств сообщения, содержащие новые параметры синхронизации установленного часового пояса и времени, номер подсети d=d+1, IP-адреса IP^(d+1) и время их аренды DHCP-серверу IP-адрес Затем направляют с DHCP-сервера сетевым устройствам вычислительной сети сформированные сообщения, содержащие новые параметры синхронизации установленного часового пояса и времени, номер подсети d=d+1, IP-адреса IP^(d+1) и время их аренды t^(d+1)_max. Далее принимают каждым сетевым устройством вычислительной сети сообщения, содержащие новые параметры синхронизации установленного часового пояса и времени, номер подсети d=d+1, IP-адреса IP^(d+1) и время их аренды Затем задают в подсети d сетевое устройство для формирования и направления информационных потоков ложного сетевого трафика в этой подсети. После этого задают сетевым устройствам подсети d, кроме сетевого устройства для формирования и направления информационных потоков ложного сетевого трафика, параметры синхронизации установленного часового пояса и времени, номер подсети d=d+1, IP-адреса IP^(d+1) и время их аренды Затем задают IP-адрес для DHCP-сервера. После чего вновь формируют массив памяти N_A для хранения матрицы соответствия MAC- и IP-адресов сетевых устройств вычислительной сети. Затем задают сетевому устройству с которого осуществлялось формирование и направление ложного сетевого трафика в подсеть d новые параметры синхронизации установленного часового пояса и времени, номер подсети d=d+1, IP-адрес IP^(d+1) и время его аренды IP-адрес выбранного DHCP-сервера После чего вновь формируют массив памяти N_A для хранения матрицы соответствия MAC- и IP-адресов сетевых устройств в подсети d=d+1 с учетом появившегося из подсети d сетевого устройства, с которого осуществлялось формирование и направление ложного сетевого трафика. Далее дополнительно задают t - счетчик времени, содержащий значение текущего времени. Затем дополнительно задают t_st - счетчик времени, содержащий значение времени подключения сетевых устройств к подсети. Далее дополнительно задают t_train - промежуток времени после которого необходимо провести обновление оценки параметра функции распределения случайной величины Ω_del задержки между пакетами вычислительной сети d. Затем дополнительно задают b_st - счетчик количества обновлений оценки параметра функции распределения случайной величины Ω_del задержки между пакетами вычислительной сети d. Далее дополнительно задают V - мощность множества T_del значений τ^del задержек между пакетами сетевого трафика вычислительной сети d, где - множество значений задержек τ^del между пакетами сетевого трафика мощностью V вычислительной сети d. После чего дополнительно задают - массив памяти для хранения множества T_del задержек τ^del между пакетами сетевого трафика мощностью V вычислительной сети d. Далее дополнительно задают W - мощность множества T_gen значений τ^gen задержек между моментами времени генерации ложного сетевого трафика вычислительной сети d, где - множество значений τ^gen задержек между моментами времени генерации ложного сетевого трафика мощностью W вычислительной сети d. Затем дополнительно задают - массив памяти для хранения множества T_gen значений τ^gen задержек мощностью W между моментами времени генерации ложного сетевого трафика вычислительной сети d. Далее дополнительно задают - массив памяти для хранения точечной оценки параметра экспоненциального закона распределения случайной величины Ω_del задержки между пакетами сетевого трафика вычислительной сети d. Далее после запоминания идентификаторов CIP_m в массиве памяти С, считывают множество T_del задержек между пакетами сетевого трафика мощностью V вычислительной сети d. После чего запоминают множество T_del задержек между пакетами сетевого трафика мощностью V вычислительной сети d в массиве памяти M_z. После чего вычисляют значение точечной оценки параметра экспоненциального закона распределения случайной величины Ω_del задержки между пакетами сетевого трафика вычислительной сети d. Далее запоминают вычисленное значение точечной оценки параметра экспоненциального закона распределения случайной величины Ω_del задержки между пакетами сетевого трафика вычислительной сети d в массиве памяти M_P. Затем вычисляют значения τ^gen множества T_gen задержек между моментами времени генерации ложного сетевого трафика вычислительной сети d. После чего запоминают вычисленные значения τ^gen множества T_gen задержек между моментами времени генерации ложного сетевого трафика вычислительной сети d в массиве памяти M_k. Затем после формирования массива памяти N_A для хранения матрицы соответствия MAC- и IF-адресов сетевых устройств вычислительной сети направляют сформированный ложный сетевой трафик с интервалами задержки между пакетами τ^gen из множества T_gen в исходную подсеть d. После чего в случае если условие t-t_st>(b_st+1)⋅t_train выполняется, что соответствует истечению промежутка времени обновления оценки параметра функции распределения случайной величины Ω_del задержки между пакетами вычислительной сети d, то увеличивают значение счетчика b_st количества обновления оценки параметра функции распределения случайной величины Ω_del задержки между пакетами вычислительной сети d на единицу. Далее считывают значения τ^del множества T_del задержек между пакетами сетевого трафика длиной V вычислительной сети d. В случае если условие t-t_st>(b_st+1)⋅t_train не выполняется, что свидетельствует об отсутствии необходимости обновления оценки параметра функции распределения случайной величины Ω_del задержки между пакетами вычислительной сети d, то сравнивают промежуток времени t-t_st с момента времени t_st до текущего момента времени t с временем t_d генерации ложного сетевого трафика вычислительной сети d. В случае если условие t-t_st>t_d не выполняется, то направляют сформированный ложный сетевой трафик с интервалами задержки τ^gen из множества T_gen между пакетами в исходную подсеть d. В случае если условие t - t_st>t_d выполняется, то уменьшают значение счетчика b_st количества обновлений оценки параметра функции распределения случайной величины Ω_del задержки между пакетами вычислительной сети d до нуля. После чего завершают направление ложного сетевого трафика в исходную подсеть d.

В качестве метода вычисления точечной оценки параметра экспоненциального закона распределения случайной величины Ω_del задержки между пакетами сетевого трафика вычислительной сети d используется метод максимального правдоподобия.

Благодаря новой совокупности существенных признаков в заявленном способе обеспечивается повышение результативности защиты за счет снижения возможностей нарушителя по компрометации средств защиты и его введения в заблуждение. Это достигается формированием в соответствии с показательной (экспоненциальной) функцией распределения времени задержки между направлением пакетов ложного сетевого трафика в исходной подсети с интервалами времени задержки, свойственными реальному сетевому трафику, после изменения текущих параметров сетевых устройств на новые параметры в новой подсети.

Заявленные объекты изобретения поясняются чертежами, на которых показаны:

фиг. 1 - Схема защищаемой вычислительной сети с использованием устройства для формирования и направления в сеть ложного сетевого трафика;

фиг. 2а - Блок-схема последовательности действий, реализующих заявленный способ защиты вычислительных сетей;

фиг. 2б - Блок-схема последовательности действий, реализующих заявленный способ защиты вычислительных сетей.

фиг. 3 - Идентификация функции распределения случайной величины задержки Ω_del и нелинейного осциллятора Ван Дер Поля, сравнение качества имитации динамических характеристик реального сетевого трафика при генерации ложного сетевого трафика с использованием осциллятора Ван дер Поля и экспоненциальной функции распределения случайной величины задержки Ω_del, где: а) временные ряды промежутков времени между пакетами реального сетевого трафика T_del, а также между пакетами ложного сетевого трафика T_gen при генерации временных рядов с использованием осциллятора Ван Дер Поля и экспоненциальной функции распределения задержки Ω_del; б) автокорреляционные функции временных рядов T_del и T_gen; в) коробочная диаграмма с рассеянием распределения промежутков времени длительностей задержек T_del и T_gen.

Реализация заявленного способа объясняется следующим образом.

В настоящее время в состав мер защиты информации в государственных информационных системах включены: сокрытие архитектуры и конфигурации информационных систем; создание (эмуляция) ложных информационных систем или их компонентов; перевод информационной (автоматизированной) системы в безопасное состояние при возникновении отказов (сбоев), что приведено, например, в Приказе ФСТЭК России от 25 декабря 2017 г. «Об утверждении Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации (в ред. приказов ФСТЭК России от 9 августа 2018 г. №138, от 26 марта 2019 г. №60, от 20 февраля 2020 г. №35)» на стр. 35.

Это обусловлено тем, что наряду с угрозами безопасности информации, связанными с осуществлением несанкционированного воздействия на информационные системы, компонентами которых являются вычислительные сети, достаточно большое количество компьютерных атак носит разведывательный характер с целью получения информации о составе, структуре и алгоритмах функционирования, местоположении и принадлежности информационных систем. В частности, на реконструкцию структурно-функциональных характеристик информационных систем нацелена угроза определения топологии вычислительных сетей, реализуемая средствами сетевой разведки нарушителя посредством сетевого сканирования и анализа сетевого трафика. Задачи сетевой разведки включают в себя идентификацию топологии вычислительных сетей, определение относительной важности их узлов, что может быть использовано нарушителем для реализации спланированных АРТ-атак (от англ. advanced persistent threat -«развитая устойчивая угроза», целевая компьютерная атака), которые известны и описаны, например, в статье Левцов В., Демидов, Н. Анатомия таргетированной атаки, часть 1, Информационная безопасность, 2016, №2, на стр. 36-39.

Одним из методов реализации перечисленных выше мер защиты информационных систем от сетевой разведки является формирование ложного сетевого трафика, под которым понимают совокупность ложных (маскирующих) пакетов сообщений, формируемых с целью создания у нарушителя устойчивых ложных стереотипов о составе, структуре и алгоритмах функционирования информационных систем, что известно и описано, например, в статье Соколовский С.П., Теленьга А.П. Методика формирования ложного сетевого трафика информационных систем для защиты от сетевой разведки, Вестник компьютерных и информационных технологий, 2022, т.19, №2, на стр. 40-47.

Генерация ложного сетевого трафика осуществляется на основе характеристик реального сетевого трафика, которая выполняется специально назначенным узлом вычислительной сети. Для обеспечения правдоподобия ложного сетевого трафика его статистические свойства аппроксимируются математической моделью, для синтеза которой применяют метод, который известен и описан, например, в книге Давыдов А.Е. Защита и безопасность ведомственных интегрированных инфокоммуникационных систем, Москва: Воентелеком, 2015, 520 с. В соответствии с этим методом для каждого из выбранных параметров сетевого трафика подбирают коэффициенты а и b уравнения нелинейного осциллятора Ван дер Поля описанного, например, в статье J. Не, J. Cai, Design of a New Chaotic System Based on Van Der Pol Oscillator and Its Encryption Application, Mathematics, 2019, 7, 743 таким образом, чтобы показатель Херста H_S синтезированного временного ряда совпадал с заданной точностью с показателем Херста Н_с реального сетевого трафика. Тем не менее, генерирование ложного сетевого трафика с использованием уравнения нелинейного осциллятора Ван дер Поля может быть скомпрометировано средствами анализа аномалий сетевого трафика, так как полученный на основе осциллятора временной ряд имеет регулярный периодический характер с выраженной автокорреляционной зависимостью между значениями элементов временного ряда (см. фиг.3а, б, в).

Заявленный способ реализуют следующим образом. В общем случае (см. фиг.1) подсеть представляет собой совокупность корреспондентов 100, DHCP-сервера 101, являющихся источниками и получателями сетевого трафика, анализатора пакетов 102 для составления отчетов, периферийного и коммуникационного оборудования 103, устройства для формирования и направления в подсеть ложного сетевого трафика 104.

Для защиты вычислительной сети и введения в заблуждение нарушителя 105 относительно структуры вычислительной сети, осуществляют периодическую смену IP-адресов и других сетевых параметров ее сетевых устройств в рамках нескольких подсетей, а для введения в заблуждение нарушителя относительно применения средств защиты осуществляют формирование и направление в исходную подсеть ложного сетевого трафика.

На фиг.2а, 2б представлена блок-схема последовательности действий, реализующих заявленный способ защиты вычислительных сетей, в которой приняты следующие обозначения:

- подмножества во множестве IP-адресов сетевых устройств вычислительной сети;

- множество IP-адресов сетевых устройств вычислительной сети, являющихся клиентами DHCP-сервера;

n - максимальное допустимое значение количества IP-адресов сетевых устройств вычислительной сети;

d - номер подсети DHCP-сервера, d=1,2,…, z;

z - максимальное количество подсетей;

- IP-адрес DHCP-сервера,

- максимальное значение времени аренды всех IP-адресов подсети с номером d;

CIP_m - идентификатор соединения между сетевыми устройствами вычислительной сети, который содержит в себе IP-адрес отправителя - с, получателя - b, тип протокола взаимодействия, порты взаимодействия; m - максимальное допустимое количество соединений между сетевыми устройствами вычислительной сети;

C_i=[CIP₁, CIP₂, …, CIP_m] - массив памяти для хранения идентификаторов CIP_m,

TS - множество идентификаторов санкционированных информационных потоков;

N_A=[[IP₁, IP₂, …, IP_n], [МАС₁, МАС₂, …, MAC_l]] - массив памяти для хранения матрицы соответствия п-му IP-адресу сетевого устройства из множества IP-адресов l-го МАС-адреса из массива памяти MAC;

- множество IP-адресов ложных абонентов вычислительной сети d;

ƒ - максимальное допустимое количество IP-адресов сетевых устройств подсети d;

t - счетчик времени, содержащий значение текущего времени;

t_st - счетчик времени, содержащий значение времени подключения сетевых устройств к подсети;

t_train - промежуток времени после которого необходимо провести обновление оценки параметра функции распределения случайной величины Ω_del задержки между пакетами вычислительной сети d;

t_d - время направления ложного сетевого трафика в подсеть d;

b_st - счетчик количества обновлений оценки параметра функции распределения случайной величины Ω_del задержки между пакетами вычислительной сети d, b_st=0 - начальное значение счетчика количества обновлений оценки параметра функции распределения случайной величины Ω_del задержки между пакетами вычислительной сети d;

- множество значений задержек τ^del между пакетами сетевого трафика мощностью V вычислительной сети d;

V - мощность множества T_del значений τ^del задержек между пакетами сетевого трафика вычислительной сети d;

- массив памяти для хранения множества T_del задержек τ^del между пакетами сетевого трафика мощностью V вычислительной сети d;

- множество значений τ^gen задержек между моментами времени генерации ложного сетевого трафика мощностью W вычислительной сети d;

- массив памяти для хранения множества T_gen значений τ^gen задержек мощностью W между моментами времени генерации ложного сетевого трафика вычислительной сети d;

W - мощность множества T_gen значений τ^gen задержек между моментами времени генерации ложного сетевого трафика вычислительной сети d;

- массив памяти для хранения точечной оценки параметра экспоненциального закона распределения случайной величины Ω_del задержки между пакетами сетевого трафика вычислительной сети d.

Для повышения результативности защиты, за счет снижения возможностей нарушителя по компрометации средств защиты и введения нарушителя в заблуждение, в предварительно заданные исходные данные дополнительно задают (см. блок 1 на фиг.2а) значение счетчика текущего времени t, необходимого для реализации цикла обновления параметров устройства для формирования и направления в подсеть ложного сетевого трафика 104.

Затем в предварительно заданные исходные данные дополнительно задают (см. блок 1 на фиг.2а) значение счетчика времени t_st подключения сетевых устройств к подсети d, необходимого для своевременного обновления параметров устройства для формирования и направления в подсеть ложного сетевого трафика 104 и завершения направления в подсеть d ложного трафика.

После этого в предварительно заданные исходные данные дополнительно задают (см. блок 1 на фиг.2а) значение промежутка времени t_train, после которого необходимо провести обновление оценки параметра функции распределения случайной величины задержки Ω_del между отправкой пакетов ложного трафика с целью адаптивного изменения свойств ложного сетевого трафика.

Далее в предварительно заданные исходные данные дополнительно задают (см. блок 1 на фиг.2а) значение счетчика b_st количества обновлений оценки параметра функции распределения случайной величины задержки Ω_del между отправкой пакетов ложного трафика, необходимого для завершения направления в подсеть ложного трафика.

После чего в предварительно заданные исходные данные дополнительно задают (см. блок 1 на фиг.2а) мощность V множества T_del значений τ^del задержек между пакетами сетевого трафика вычислительной сети d, необходимых для идентификации функции распределения случайной величины задержки Ω_del между отправкой пакетов ложного трафика.

Затем в предварительно заданные исходные данные дополнительно задают (см. блок 1 на фиг.2а) массив памяти M_z для хранения временного ряда T_del задержек между пакетами сетевого трафика мощностью V вычислительной сети d, необходимого для идентификации функции распределения случайной величины задержки Ω_del между отправкой пакетов ложного трафика.

Далее в предварительно заданные исходные данные дополнительно задают (см. блок 1 на фиг.2а) мощность W множества T_gen значений τ^gen задержек между моментами времени генерации ложного сетевого трафика вычислительной сети d, необходимую для определения режима формирования ложного сетевого трафика устройством 104.

После чего в предварительно заданные исходные данные дополнительно задают (см. блок 1 на фиг.2а) массив памяти M_k для хранения вычисленных значений τ_gen множества T_gen задержек между моментами времени генерации ложного сетевого трафика вычислительной сети d, необходимого для определения режима формирования ложного сетевого трафика устройством 104.

После чего в предварительно заданные исходные данные дополнительно задают (см. блок 1 на фиг.2а) массив памяти М_р для хранения точечной оценки параметра экспоненциального закона распределения случайной величины Ω_del задержки между пакетами сетевого трафика.

Затем подключают (см. блок 2 на фиг.2а) сетевые устройства к вычислительной сети и после их инициализации направляют (см. блок 3 на фиг.2а) с сетевых устройств вычислительной сети сообщения на DHCP-сервер с IP-адресом для получения параметров синхронизации установленного часового пояса, IP-адресов и времени продолжительности их аренды t_ap, номера подсети d и IP-адреса DHCP-сервера Схема протокольного обмена сообщениями между сетевыми устройствами и DHCP-сервером известна и описана, например, в технических спецификациях (RFC, Request for Comments) сети Интернет (см., например, https://tools.ietf.org/html/rfc2131).

После этого принимают (см. блок 4 на фиг.2а) DHCP-сервером с IP-адресом сообщения от сетевых устройств вычислительной сети.

Затем формируют (см. блок 5 на фиг.2а) для сетевых устройств сообщения, содержащие параметры синхронизации установленного часового пояса и времени, назначенные номер подсети d, IP-адреса IP^d и время их аренды, IP-адрес DHCP-сервера Необходимость синхронизации установленного часового пояса и времени возникает в случае, когда время сервера и сетевых устройств вычислительной сети различается, при этом сервер может счесть аренду завершившейся раньше, чем это сделает сетевое устройство. Синхронизация осуществляется путем установки общего часового пояса и времени DHCP-сервера и сетевых устройств вычислительной сети.

Далее направляют (см. блок 6 на фиг.2а) DHCP-сервером ответные сообщения, содержащие параметры синхронизации установленного часового пояса и времени, назначенные номер подсети d, IP-адреса IP^d и время их аренды, IP-адрес DHCP-сервера для обратившихся с запросом сетевых устройств вычислительной сети.

Принимают (см. блок 7 на фиг.2а) каждым сетевым устройством вычислительной сети сообщения с DHCP-сервера и направляют (см. блок 8 на фиг.2а) ответные сообщения DHCP-серверу, подтверждающие их выбор этого DHCP-сервера.

После этого принимают (см. блок 9 на фиг.2а) DHCP-сервером сообщения от сетевых устройств вычислительной сети, подтверждающие их выбор и задают (см. блок 10 на фиг.2а) сетевым устройствам вычислительной сети параметры синхронизации установленного часового пояса и времени, назначенные номер подсети d, IP-адреса IP^d и время их аренды, IP-адрес DHCP-сервера выбранного DHCP-сервера.

Затем устанавливают (см. блок 11 на фиг.2а) соответствие MAC- и IP-адресов и запоминают (см. блок 12 на фиг.2а) это соответствие MAC- и IP-адресов в массиве памяти N_A.

Далее удаляют (см. блок 13 на фиг.2а) из массива памяти N_A, те соответствия сетевых устройств вычислительной сети, от которых не получили сообщения, подтверждающие их выбор, тем самым исключают выдачу IP-адресов неактивным сетевым устройствам.

После этого устанавливают соединения между сетевыми устройствами вычислительной сети (см. блок 14 на фиг.2а) и назначают (см. блок 15 на фиг.2а) установленным соединениям между сетевыми устройствами вычислительной сети идентификаторы CIP_m.

Далее установленные идентификаторы CIP_m запоминают (см. блок 16 на фиг.2а) в массиве памяти С.

Затем считывают (см. блок 17 на фиг.2а) множество T^del задержек между пакетами сетевого трафика мощностью V вычислительной сети d. Исследование свойств множества T_del задержек между пакетами сетевого трафика позволяет синтезировать временные ряды для формирования ложного сетевого трафика с динамическими свойствами близкими к реальному сетевому трафику.

После этого запоминают (см. блок 18 на фиг.2а) множество T^del задержек между пакетами сетевого трафика мощностью V вычислительной сети d в массиве памяти M_z.

Далее вычисляют (см. блок 19 на фиг.2а) значение точечной оценки параметра экспоненциального закона распределения случайной величины Ω_del задержки между пакетами сетевого трафика вычислительной сети d.

После чего (см. блок 20 на фиг.2а) запоминают вычисленное значение точечной оценки параметра экспоненциального закона распределения случайной величины Ω_del задержки между пакетами сетевого трафика вычислительной сети d в массиве памяти M_P.

Затем вычисляют (см. блок 21 на фиг.2а) значения τ^gen множества T_gen задержек между моментами времени генерации ложного сетевого трафика вычислительной сети d. Для вычисления элементов τ_den множества T_gen может быть использовано выражение приведенное в книге Б.Я. Советое, С.А. Яковлев. Моделирование систем: 3-е изд., перераб. и доп.- М.: Высш. шк. 2001, на стр. 137, где x_i - случайное число, равномерно распределенное в интервале (0, 1). Датчик псевдослучайной последовательности для генерации значений x_i может быть реализован как аппаратно, так и программно (алгоритмически).

После чего запоминают (см. блок 22 на фиг.2а) вычисленные значения τ^gen множества T_gen задержек между моментами времени генерации ложного сетевого трафика вычислительной сети d в массиве памяти M_k.

Затем принимают (см. блок 23 на фиг.2а) из канала связи пакет сообщения и выделяют (см. блок 24 на фиг.2а) из заголовка принятого пакета сообщения идентификатор информационного потока CIP_m.

После этого сравнивают (см. блок 25 на фиг.2б) его с идентификаторами санкционированных информационных потоков TS для определения возможности дальнейшей передачи пакета адресату.

При совпадении выделенного идентификатора информационного потока CIP_m с идентификатором санкционированных информационных потоков TS передают (см. блок 2б на фиг.2б) пакет сообщений получателю, а затем принимают (см. блок 23 на фиг.2б) из канала связи следующий пакет сообщения.

В случае несовпадения выделенного идентификатора CIP_m с идентификаторами санкционированных информационных потоков TS, сравнивают (см. блок 27 на фиг.2б) IP-адрес получателя в принятом пакете сообщений с предварительно заданными ложными IP-адресами абонентов вычислительной сети FIP^d.

При несовпадении IP-адреса получателя в принятом пакете сообщений с предварительно заданными ложными IP-адресами абонентов FIP^d, игнорируют (см. блок 28 на фиг.2б) пакет сообщений.

В ином случае, при совпадении IP-адреса получателя в принятом пакете сообщений с предварительно заданными ложными IP-адресами абонентов FIP^d определяют, является ли отправитель пакета сообщений санкционированным абонентом или нарушителем, для этого сравнивают (см. блок 29 на фиг.2б) IP-адрес отправителя пакетов сообщений с каждым IP-адресом сетевого устройства вычислительной сети из множества IP^d.

В случае их совпадения блокируют IP-адрес отправителя пакетов сообщений, считая его потенциальным нарушителем, для чего исключают (см. блок 30 на фиг.2б) МАС-адрес данного сетевого устройства из массива памяти N_A DHCP-сервера, тем самым изолируют нарушителя от дальнейшего информационного обмена в вычислительной сети при последующей реконфигурации сетевых параметров устройств и коммуникационного оборудования вычислительной сети.

В случае же их несовпадения, то есть когда отправитель пакетов сообщений имеет нелегитимный IP-адрес, осуществляют реконфигурацию структурно-функциональных характеристик сетевых устройств вычислительных сети. Для этого считывают (см. блок 31 на фиг.2б) DHCP-сервером из массива D очередной d=d+1 номер подсети для формирования параметров сетевых устройств в новой подсети, путем увеличения текущего номера сети d на единицу.

Затем формируют (см. блок 32 на фиг.2б) ответные сообщения DHCP-сервера, содержащие параметры установленного часового пояса и времени, а также новые IP-адреса IP^(d+1), значения следующий номер подсети d=d+1 и IP-адрес выбранного DHCP-сервера для каждого из сетевых устройств вычислительной сети. Формирование нового значения времени аренды IP-адресов сетевых устройств вычислительной сети осуществляют для исключения возможности нарушителя вычислить алгоритм перестройки IP-адресов.

Далее направляют (см. блок 33 на фиг.2б) ответные сообщения DHCP-сервера, содержащие параметры установленного часового пояса и времени, а также новые IP-адреса IP^(d+1), значения следующий номер подсети d=d+1 и IP-адрес выбранного DHCP-сервера сетевым устройствам вычислительной сети.

Затем принимают (см. блок 34 на фиг.2б) каждым сетевым устройством вычислительной сети сообщения, содержащих параметры синхронизации установленного часового пояса и времени, новые IP-адреса и время продолжительности их аренды номер подсети d=d+1 и IP-адрес выбранного DHCP-сервера

Далее, для сокрытия факта использования средств защиты и введения нарушителя в заблуждение, задают (см. блок 35 на фиг.2б) в подсети d сетевое устройство для формирования и направления информационных потоков ложного сетевого трафика в этой подсети.

После этого задают (см. блок 36 на фиг.2б) сетевым устройствам подсети d, кроме сетевого устройства для формирования и направления информационных потоков ложного сетевого трафика, параметры синхронизации установленного часового пояса и времени, номер подсети d=d+1, IP-адреса IP^(d+1) и время их аренды IP-адрес выбранного DHCP-сервера

Затем задают (см. блок 37 на фиг.2б) IP-адрес DHCP-серверу. Далее, так как сетевые параметры устройств вычислительной сети изменились, вновь формируют (см. блок 38 на фиг.2б) массив памяти N_A для новой подсети d=d+1.

Затем направляют (см. блок 39 на фиг.2б) сформированный ложный сетевой трафик с интервалами задержки между пакетами τ^gen из множества T_gen в исходную подсеть d.

В случае, если условие t-t_st>(b_st+1)⋅t_train выполняется (см. блок 40 на фиг.2б), что соответствует истечению промежутка времени обновления оценки параметра функции распределения случайной величины Ωdel задержки между пакетами вычислительной сети d, то увеличивают значение счетчика b_st количества обновления оценки параметра функции распределения случайной величины Ωdel задержки между пакетами вычислительной сети d на единицу.

Затем вновь считывают (см. блок 17 на фиг.2а) значения τ^del множества T_del задержек между пакетами сетевого трафика длиной V вычислительной сети d с целью обеспечения адекватности динамических свойств формируемого ложного трафика в подсети.

В случае если условие t-t_st>(b_st+1)⋅t_train не выполняется (см. блок 40 на фиг.2б), что свидетельствует об отсутствии необходимости обновления оценки параметра функции распределения случайной величины Ω_del задержки между пакетами вычислительной сети d, то сравнивают промежуток времени t-t_st с момента времени t_st до текущего момента времени t с временем t_d генерации ложного сетевого трафика вычислительной сети d.

В случае если условие t-t_st>t_d не выполняется (см. блок 42 на фиг.2б), что свидетельствует о том, что время формирования и направления ложного сетевого трафика t_d не истекло, то снова направляют (см. блок 40 на фиг.2б) сформированный ложный сетевой трафик с интервалами задержки τ^gen из множества T_gen между пакетами в исходную подсеть d.

В случае если условие t-t_st>t_d выполняется, то уменьшают (см. блок 43 на фиг.2б) значение счетчика b_st количества обновлений оценки параметра функции распределения случайной величины задержки Ω_del до нуля и завершают (см. блок 44 на фиг.2б) направление в подсеть d ложного трафика.

После этого задают сетевому устройству (см. блок 45 на фиг.2б), с которого осуществлялось формирование и направление ложного сетевого трафика в подсеть d новые параметры синхронизации установленного часового пояса и времени, номер подсети d=d+1, IP-адрес IP^(d+1) и время его аренды IP-адрес выбранного DHCP-сервера

Далее вновь формируют (см. блок 46 на фиг.2б) массив памяти N_A для хранения матрицы соответствия MAC- и IP-адресов сетевых устройств в подсети d=d+1 с учетом появившегося из подсети d сетевого устройства, с которого осуществлялось формирование и направление ложного сетевого трафика.

В качестве метода точечной оценки параметра экспоненциального закона распределения случайной величины Ω_del задержки между пакетами сетевого трафика выбирают метод максимального правдоподобия, оценка параметров модели осуществляется при решении задачи скалярной оптимизации с ограничениями, вида где Θ - допустимое множество значений параметра L - функция (функционал) правдоподобия, для показательного распределения задача оптимизации имеет аналитическое решение и может быть представлено в форме, приведенной в ГОСТ Р 50779.26-2007 (МЭК 60605-4:2001). Точечные оценки, доверительные, предикционные и толерантные интервалы для экспоненциального распределения на стр. 6: где T*- суммарное время считывания параметров сетевого трафика.

В качестве устройства для формирования и направления в подсеть ложного сетевого трафика выбирают компьютер с установленным программным обеспечением для формирования сетевого трафика, например, PacketSender (http://packetsender. com).

Таким образом, в заявленном способе обеспечивается повышение результативности защиты за счет снижения возможностей нарушителя по компрометации средств защиты и его введения в заблуждение. Это достигается формированием в соответствии с показательным распределением, параметризованным методом максимального правдоподобия и направлением ложного сетевого трафика в исходной подсети с интервалами задержки, свойственными реальному сетевому трафику, после изменения текущих параметров сетевых устройств на новые параметры в новой подсети.

Изобретение относится к области защиты вычислительных сетей. Техническим результатом является повышение результативности защиты за счет снижения возможностей нарушителя по компрометации средств защиты и его введения в заблуждение. Для достижения технического результата последовательно считывают заданное количество промежутков времени между пакетами сетевого трафика в защищаемой подсети и вычисляют точечную оценку параметров функции распределения времени задержки, необходимой для формирования и направления ложного сетевого трафика с динамическими свойствами, близкими к реальному сетевому трафику. При обнаружении несанкционированных информационных потоков завершают аренду ранее назначенных сетевых параметров сетевых устройств в исходной подсети. Задают в исходной подсети сетевое устройство для формирования и направления ложного сетевого трафика. Формируют и назначают новые сетевые параметры в новой подсети всем сетевым устройствам, кроме заданного сетевого устройства. Формируют и направляют ложный трафик через сформированные промежутки времени. По истечении заданного времени происходит переоценка параметра функции распределения. Назначают заданному для этого сетевому устройству новые сетевые параметры в новой подсети. 1 з.п. ф-лы, 4 ил.

Способ защиты вычислительных сетей, заключающийся в том, что предварительно задают IP={IP,IP₂,…,IP_n} - множество IP-адресов сетевых устройств вычислительной сети, являющихся DHCP-клиентами DHCP-сервера, где n - максимальное допустимое значение количества IP-адресов сетевых устройств вычислительной сети, также задают подмножества d во множестве IP-адресов сетевых устройств вычислительной сети IP^d={IP^d₁,IP^d₂,…,IP^d_n}, где d - номер подсети DHCP-сервера, d=1, 2 …, z, где z - максимальное количество подсетей, для каждого подмножества d задают IP-адреса DHCP-серверов IP^d_dhcp, где IP^d_dhcp - IP-адрес DHCP-сервера, IP^d_dhcp ∈ IP^d, затем предварительно задают массив памяти D=[1,2,…,z] для хранения номеров подсетей DHCP-сервера и t^d_max - максимальное значение времени аренды всех IP-адресов подсети с номером d, далее задают С={CIP₁,CIP₂,…,CIP_m} - множество соединений между сетевыми устройствами вычислительной сети, где CIP_m - идентификатор соединения между сетевыми устройствами вычислительной сети, который содержит в себе IP-адрес отправителя с и получателя b, тип протокола взаимодействия, порты взаимодействия, где m - максимальное допустимое количество соединений между сетевыми устройствами вычислительной сети, а также предварительно задают массив памяти C_i=[CIP₁,CIP₂,…,CIP_m] для хранения идентификаторов CIP_m и множество идентификаторов санкционированных информационных потоков TS≥1, после этого предварительно задают МАС={МАС₁,МАС₂,…,MAC_l} - множество MAC-адресов сетевых устройств вычислительной сети, где l - максимальное количество сетевых устройств в вычислительной сети, массив памяти N_A для хранения матрицы соответствия n-му IP-адресу сетевого устройства из множества IP-адресов l-го МАС-адреса из массива памяти MAC, далее задают FIP^d={FIP^d₁,FIP^d₂,…,FIP^d_f} - множество IP-адресов ложных абонентов подсети d, где ƒ - максимальное допустимое количество IP-адресов сетевых устройств подсети d, время t_d направления ложного сетевого трафика в подсеть, подключают сетевые устройства к вычислительной сети, направляют с сетевых устройств вычислительной сети сообщения DHCP-серверу для получения параметров синхронизации установленного часового пояса и времени, номера подсети d, IP-адресов IP^d и времени их аренды, IP-адреса DHCP-сервера IP^d_dhcp, принимают DHCP-сервером сообщения от сетевых устройств вычислительной сети, формируют для сетевых устройств сообщения, содержащие параметры синхронизации установленного часового пояса и времени, назначенные номер подсети d, IP-адреса IP^d и время их аренды, IP-адрес DHCP-сервера IP^d_dhcp, направляют сформированные сообщения сетевым устройствам вычислительной сети, принимают каждым сетевым устройством вычислительной сети сообщение от DHCP-сервера, направляют от сетевых устройств вычислительной сети ответные сообщения DHCP-серверу, подтверждающие его выбор, принимают DHCP-сервером сообщения от сетевых устройств вычислительной сети, подтверждающие его выбор, задают сетевым устройством вычислительной сети параметры синхронизации установленного часового пояса и времени, назначенные номер подсети d, IP-адреса IP^d и время их аренды, для DHCP-сервера IP-адрес IP^d_dhcp, далее устанавливают соответствие MAC- и IP-адресов, запоминают соответствие MAC- и IP-адресов в массиве памяти N_A, удаляют из массива памяти N_A те соответствия сетевых устройств вычислительной сети, от которых не получили сообщения, подтверждающие их выбор, устанавливают соединения между сетевыми устройствами вычислительной сети и назначают установленным соединениям между сетевыми устройствами вычислительной сети идентификаторы CIP_m, затем запоминают идентификаторы CIP_m в массиве памяти C_i и принимают из канала связи пакет сообщения, далее выделяют из заголовка принятого пакета сообщения идентификатор информационного потока, затем сравнивают его с идентификаторами санкционированных информационных потоков TS и при совпадении выделенного идентификатора информационного потока с идентификаторами санкционированных информационных потоков TS передают пакет сообщений получателю, после этого принимают из канала связи следующий пакет сообщения, а в случае несовпадения выделенного идентификатора с идентификаторами санкционированных информационных потоков TS сравнивают IP-адрес получателя в принятом пакете сообщений с предварительно заданными ложными IP-адресами абонентов вычислительной сети FIP и при несовпадении IP-адреса получателя в принятом пакете сообщений с предварительно заданными ложными IP-адресами абонентов FIP игнорируют пакет сообщений, а при совпадении IP-адреса получателя в принятом пакете сообщений с предварительно заданными ложными IP-адресами абонентов FIP сравнивают IP-адрес отправителя пакетов сообщений с каждым IP-адресом сетевого устройства вычислительной сети из множества IP^d, в случае их совпадения исключают MAC-адрес сетевого устройства из массива N_A DHCP-сервера, а в случае их несовпадения считывают DHCP-сервером из массива D следующий d=d+1 номер подсети, после этого формируют для сетевых устройств сообщения, содержащие новые параметры синхронизации установленного часового пояса и времени, номер подсети d=d+1, IP-адреса IP^(d+1) и время их аренды t^(d+1)_max, DHCP-серверу IP-адрес IP^(d+1)_dhcp, затем направляют с DHCP-сервера сетевым устройствам вычислительной сети сформированные сообщения, содержащие новые параметры синхронизации установленного часового пояса и времени, номер подсети d=d+1, IP-адреса IP^(d+1) и время их аренды t^(d+1)_max, далее принимают каждым сетевым устройством вычислительной сети сообщения, содержащие новые параметры синхронизации установленного часового пояса и времени, номер подсети d = d+1, IP-адреса IP^(d+1) и время их аренды t^(d+1)_max, задают в подсети d сетевое устройство для формирования и направления информационных потоков ложного сетевого трафика в этой подсети, после этого задают сетевым устройствам подсети d, кроме сетевого устройства для формирования и направления информационных потоков ложного сетевого трафика, параметры синхронизации установленного часового пояса и времени, номер подсети d=d+1, IP-адреса IP^(d+1) и время их аренды t^(d+1)_max, IP-адрес выбранного DHCP-сервера IP^(d+1)_dhcp, затем вновь формируют массив памяти N_A для хранения матрицы соответствия MAC- и IP-адресов сетевых устройств вычислительной сети, задают сетевому устройству, с которого осуществлялось формирование и направление ложного сетевого трафика в подсеть d, новые параметры синхронизации установленного часового пояса и времени, номер подсети d=d+1, IP-адрес IP^(d+1) и время его аренды t^(d+1)_max, IP-адрес выбранного DHCP-сервера IP^(d+1)_dhcp, затем вновь формируют массив памяти N_A для хранения матрицы соответствия MAC- и IP-адресов сетевых устройств в подсети d=d+1 с учетом появившегося из подсети d сетевого устройства, с которого осуществлялось формирование и направление ложного сетевого трафика, отличающийся тем, что в предварительно заданные исходные данные дополнительно задают t - счетчик времени, содержащий значение текущего времени, t_st - счетчик времени, содержащий значение времени подключения сетевых устройств к подсети, t_train - промежуток времени, после которого необходимо провести обновление оценки параметра функции распределения случайной величины Ω_del задержки между пакетами вычислительной сети d, b_st - счетчик количества обновлений оценки параметра функции распределения случайной величины Ω_del задержки между пакетами вычислительной сети d, V - мощность множества T_del значений τ^del задержек между пакетами сетевого трафика вычислительной сети d,

где T_del={τ^del₁,τ^del₂,…,τ^del_V} - множество значений задержек τ^del между пакетами сетевого трафика мощностью V вычислительной сети d, M_z=[τ^del₁,τ^del₂,…,τ^del_V] - массив памяти для хранения множества T_del задержек τ^del между пакетами сетевого трафика мощностью V вычислительной сети d, W - мощность множества T_gen значений τ^gen задержек между моментами времени генерации ложного сетевого трафика вычислительной сети d, где T_gen={τ^gen₁,τ^gen₂,…,τ^gen_W} - множество значений τ^gen задержек между моментами времени генерации ложного сетевого трафика мощностью W вычислительной сети d, M_k=[τ^gen₁,τ^gen₂,…,τ^gen_W] - массив памяти для хранения множества T_gen значений τ^gen задержек мощностью W между моментами времени генерации ложного сетевого трафика вычислительной сети d, - массив памяти для хранения точечной оценки параметра экспоненциального закона распределения случайной величины Ω_del задержки между пакетами сетевого трафика вычислительной сети d, далее после запоминания идентификаторов CIP_m в массиве памяти С считывают множество T_del задержек между пакетами сетевого трафика мощностью V вычислительной сети d, запоминают множество T_del задержек между пакетами сетевого трафика мощностью V вычислительной сети d в массиве памяти M_z, вычисляют значение точечной оценки параметра экспоненциального закона распределения случайной величины Ω_del задержки между пакетами сетевого трафика вычислительной сети d, запоминают вычисленное значение точечной оценки параметра экспоненциального закона распределения случайной величины Ω_del задержки между пакетами сетевого трафика вычислительной сети d в массиве памяти M_P, вычисляют значения τ^gen множества T_gen задержек между моментами времени генерации ложного сетевого трафика вычислительной сети d, запоминают вычисленные значения τ^gen множества T_gen задержек между моментами времени генерации ложного сетевого трафика вычислительной сети d в массиве памяти M_k, затем после формирования массива памяти N_A для хранения матрицы соответствия МАС-и IP-адресов сетевых устройств вычислительной сети направляют сформированный ложный сетевой трафик с интервалами задержки между пакетами τ^gen из множества T_gen в исходную подсеть d, в случае если условие t-t_st>(b_st+1)⋅t_train выполняется, что соответствует истечению промежутка времени обновления оценки параметра функции распределения случайной величины Ω_del задержки между пакетами вычислительной сети d, то увеличивают значение счетчика b_st количества обновления оценки параметра функции распределения случайной величины Ω_del задержки между пакетами вычислительной сети d на единицу, считывают значения τ^del множества T_del задержек между пакетами сетевого трафика длиной V вычислительной сети d, в случае если условие t-t_st>(b_st+l)⋅t_train не выполняется, что свидетельствует об отсутствии необходимости обновления оценки параметра функции распределения случайной величины Ω_del задержки между пакетами вычислительной сети d, то сравнивают промежуток времени t - t_st с момента времени t_st до текущего момента времени t с временем t_d генерации ложного сетевого трафика вычислительной сети d, в случае если условие t-t_st>t_d не выполняется, то направляют сформированный ложный сетевой трафик с интервалами задержки τ^gen из множества T_gen между пакетами в исходную подсеть d, в случае если условие t-t_st>t_d выполняется, то уменьшают значение счетчика b_st количества обновлений оценки параметра функции распределения случайной величины Ω_del задержки между пакетами вычислительной сети d до нуля, завершают направление ложного сетевого трафика в исходную подсеть d.

2. Способ по п. 1, отличающийся тем, что в качестве метода вычисления значения точечной оценки параметра экспоненциального закона распределения случайной величины Ω_del задержки между пакетами сетевого трафика вычислительной сети d используется метод максимального правдоподобия.