Способ обнаружения удаленных атак в компьютерной сети

 

Изобретение относится к вычислительной технике. Его использование позволяет обеспечить технический результат в виде упрощения способа обнаружения удаленных атак в компьютерной сети, в которой связь между абонентами осуществляется путем передачи пакетов данных в соответствии протоколом TCP. Способ включает в себя наблюдение за трафиком поступающих абоненту пакетов данных, проверку этих пакетов по заданным правилам и подачу сигнала для принятия мер защиты от несанкционированного доступа, когда проверка выявляет соответствие указанным правилам. Технический результат достигается благодаря тому, что для обнаружения попыток несанкционированного доступа, производимых от обманно присвоенного имени другого абонента сети, проводят наблюдение за трафиком адресованных абоненту пакетов данных, включающее постоянно возобновляемый подсчет числа пакетов, выполняемый в пределах серии пакетов, поступающих подряд друг за другом через промежутки времени не более заданного, при этом проверку поступающих пакетов данных на соответствие заданным правилам выполняют каждый раз, когда размер очередной наблюдаемой серии достигает критического числа пакетов. 3 з. п. ф-лы, 4 ил.

Изобретение относится к области защиты от несанкционированного доступа к ресурсам компьютерной системы, а именно к способам и устройствам, обеспечивающим обнаружение удаленных атак на абонентов компьютерных сетей, осуществляемых средствами сетевого соединения, в частности, в глобальных компьютерных сетях, и защиту от подобного рода действий.

Настоящее описание предполагает общее знакомство с понятиями, протоколами и устройствами, используемыми в прикладных программах работы с компьютерными сетями.

Известно значительное количество способов и устройств по защите информации в вычислительных системах различного назначения, основанных на ограничении доступа к информации различного уровня конфиденциальности: использование паролей при входе в систему, блокировки отдельных областей памяти, применение средств криптографической защиты, подавления побочного электромагнитного излучения вычислительных устройств и каналов передачи информации.

Известны атаки, основанные на подборе пароля, описание способов обнаружения таких атак и путей защиты от них приведено в книге [5. Дэвид Стенг, Сильвия Мун, "Секреты безопасности сетей", Киев, "Диалектика", 1996] .

Сетевые системы характерны тем, что, наряду с обычными, локальными атаками, осуществляемыми в пределах одной компьютерной системы, к ним применим специфический вид атак, обусловленный распределенностью ресурсов и информации в пространстве. Это так называемые сетевые, или удаленные, атаки. Под удаленной атакой на компьютерную систему здесь подразумевается информационное разрушающее воздействие на распределенную вычислительную систему (РВС), программно осуществляемое по каналам связи одним или группой людей, имеющих злой умысел. При этом часто бывает невозможно различить преднамеренные и случайные действия, и хорошая система защиты должна адекватно реагировать на любые из них.

Недостаточная защищенность наиболее распространенных операционных систем РВС и протоколов связи дает возможности осуществления различных видов удаленных атак на РВС, различающихся механизмами реализации, характерами и целями воздействия. Предварительным этапом удаленных атак обычно служит анализ сетевого трафика, то есть потока информационного обмена, который позволяет изучить логику работы распределенной вычислительной системы. Получение информации об РВС достигается злоумышленником путем перехвата и анализа передаваемых данных. Возможность перехвата данных существует вследствие того, что компоненты любой сетевой системы распределены в пространстве и связь между ними физически осуществляется при помощи сетевых соединений, для которых используются коаксиальный кабель, витая пара, оптоволокно и т. п.

Удаленные атаки осуществляются программно, при помощи механизмов сообщений. Известные разновидности удаленных атак и способы защиты от них описаны, например, в книге: И. Медведовский, П. Семьянов, В. Платонов "Атака через Internet", Санкт-Петербург, НПО "Мир и семья - 95", 1997.

Удаленная атака, вызывающая отказ в обслуживании, позволяет нарушить на атакованном объекте работоспособность соответствующей службы предоставления удаленного доступа либо телекоммуникационной службы, т. е. сделать невозможным получение удаленного доступа с других объектов. Отказ в обслуживании достигается путем передачи атакуемому абоненту возможно большего числа запросов на подключение от имени других абонентов, либо путем передачи с одного адреса такого количества запросов, какое позволит трафик.

Опасной разновидностью удаленных атак является подмена абонента компьютерной сети, которая строится на передаче сообщений от обманно присвоенного имени произвольного абонента этой сети. Подмена абонента компьютерной сети может обеспечить несанкционированный доступ к ресурсам атакуемого абонента, если подменяемый абонент является для атакуемого доверенным объектом взаимодействия. Атака путем подмены абонента компьютерной сети может осуществляться как во время сеанса сетевого соединения между атакуемым и подменяемым абонентом, так и с помощью посылки запроса атакуемому абоненту на установление соединения от имени подменяемого абонента. Особенность такой атаки состоит в том, что атакующий имеет с атакуемым лишь одностороннюю связь, так как ответы атакуемого адресованы подменяемому абоненту. Поскольку вмешательство подменяемого абонента может помешать достижению целей атаки, подмену абонента компьютерной сети обычно сочетают с одновременным проведением атаки, вызывающей отказ в обслуживании подменяемого абонента.

Настоящее изобретение предлагает способ для обнаружения удаленных атак, основанных на подмене абонента компьютерной сети.

Наиболее близким к предложенному изобретению является описанное в патенте US 5796942, касающееся системы сетевого наблюдения.

Эта система, предназначенная для наблюдения за компьютерной сетью независимо от сетевого сервера, содержит: сетевой драйвер для сбора данных в сети, которые не обязательно адресованы системе сетевого наблюдения; управляющий процесс для получения данных от сетевого драйвера и хранения указанных данных в реальном времени; множество файлов записи для получения и хранения данных до последующей обработки; процесс сканирования, для которого один из указанного множества файлов записи назначается в качестве получающего файла для чтении данных других файлов из множества файлов записи и для использования указанных данных, чтобы воссоздать множество потоков данных в сеансах сетевых соединений, причем указанные потоки данных в сетевых соединениях обеспечивают последовательную реконструкцию сетевого трафика данных в сеансе сетевого соединения; сканер сеанса для чтения данных в интервале одного из указанного множества сеансов сетевых соединений; набор правил выявления стереотипов данных, которые, будучи обнаружены, вызовут включение сигнала тревоги; средства для определенных ответных действий в случае выявления данных, соответствующих заданным правилам.

Система для наблюдения за компьютерной сетью, характеризуемая приведенной выше формулой изобретения по патенту US 5796942, ориентирована на тотальный контроль сетевого трафика данных в локальных вычислительных сетях, в первую очередь - для наблюдения за поведением легальных пользователей этих сетей и выявления попыток несанкционированного доступа к ресурсам РВС с их стороны. Такая система, требует для своей реализации высокопроизводительного вычислительного комплекса с несколькими процессорами, работающими на частотах 233 - 500 МГц. В целях обнаружения попыток несанкционированного доступа к ресурсам абонентов компьютерной сети система обеспечивает реконструкцию потоков данных, передаваемых в сеансах сетевых соединений, и последовательное чтение данных, передаваемых в различных сеансах, причем проверке в соответствии с набором правил, выполняемой для выявления попыток несанкционированного доступа к ресурсам абонентов, подвергаются непосредственно сами передаваемые данные. Хотя данная система обеспечивает сбор данных в реальном времени, однако затем, при последовательном анализе множества сеансов сетевых соединений обнаружение несанкционированных действий в контролируемой компьютерной сети происходит с неминуемым опозданием по отношению к началу таких действий. Во многих случаях, опоздание с принятием мер по пресечению несанкционированных действий может приводить к непоправимому ущербу и делать защиту малоэффективной.

В основу настоящего изобретения положена задача создать простой способ, минимальными средствами обеспечивающий обнаружение в реальном времени попыток несанкционированного доступа к ресурсам абонента компьютерной сети, в частности сети Интернет, осуществляемых средствами удаленного соединения и основанных на действиях от обманно присвоенного имени другого абонента этой компьютерной сети.

Поставленная задача решается тем, что в способе обнаружения попыток несанкционированного доступа к ресурсам абонента компьютерной сети, осуществляемых средствами удаленного сетевого соединения, в котором проводят наблюдение за трафиком поступающих абоненту пакетов данных, выполняют проверку по заданным правилам и подают сигнал для принятия мер защиты от несанкционированного доступа, когда проверка выявляет соответствие указанным правилам, согласно изобретению для обнаружения попыток несанкционированного доступа к ресурсам абонента компьютерной сети, в которой связь между абонентами осуществляется путем передачи пакетов данных в соответствии протоколом TCP, производимых от обманно присвоенного имени другого абонента указанной сети, проводят наблюдение за трафиком адресованных абоненту пакетов данных, включающее постоянно возобновляемый подсчет числа пакетов, выполняемый в пределах серии пакетов, поступающих подряд друг за другом через промежутки времени не более заданного, при этом проверку поступающих пакетов данных на соответствие заданным правилам выполняют каждый раз, когда размер очередной наблюдаемой серии пакетов достигает критического числа пакетов.

Способ предназначен для обеспечения защиты абонента путем предупреждения о попытке атаки путем подмены абонента компьютерной сети и основан на анализе необходимых условий для установления ложного соединения от имени подменяемого абонента, преимущественно, в сети Интернет.

Для того, чтобы ложные пакеты сообщения, посылаемые атакующим атакуемому абоненту, были восприняты последним как посланные подменяемым абонентом, необходимо, чтобы эти пакеты имели определенные значения их идентификационных параметров, используемых в протоколе связи TCP. Эти значения могут быть известны атакующему лишь с некоторым приближением, зависящим от вида операционной системы атакуемого абонента и количества узлов компьютерной сети, через которые пакеты данных, посылаемые атакующим, достигают атакуемого абонента. Поэтому для подбора идентификационных параметров атакующий вынужден посылать атакуемому вместо одного пакета серию пакетов с различными значениями идентификационных параметров.

Потенциально опасными для защищаемого абонента компьютерной сети являются серии пакетов, следующих с малыми промежутками времени, так как вероятность успешного подбора идентификационных параметров падает с увеличением затрачиваемого на подбор времени. В связи с этим предложенный способ включает постоянное наблюдение за размером серий пакетов, поступающих с малыми промежутками времени.

Критический размер серии, начиная с которого такая серия пакетов может обеспечить успешный подбор идентификационных параметров ложного пакета, может быть задан на основе результатов моделирования атаки, использующей подмену по меньшей мере одного из его доверенных объектов взаимодействия.

Максимальную величину промежутка времени между соседними пакетами, относимыми к одной серии, предпочтительно задавать не менее времени, которое требуется абоненту на первичную обработку поступившего пакета.

Получение серии, размер которой достигает критического числа пакетов, служит сигналом для начала проверки поступающих пакетов. Такая проверка включает, например, формирование сигнала для принятия мер по защите от несанкционированного доступа, когда в пределах заданного интервала времени от достижения одной серией размера не менее критического числа пакетов обнаружена вторая серия, размер которой также достигает критического.

Целесообразно наблюдение за трафиком адресованных абоненту пакетов данных, включающее постоянно возобновляемый подсчет числа пакетов, выполняемый в пределах серии пакетов, поступающих подряд друг за другом через промежутки времени не более заданного, выполнять с помощью специализированного вычислительного устройства, обменивающегося сигналами с указанным абонентом.

Аппаратная реализация наблюдения за размером серий пакетов обеспечивает минимальное отвлечение ресурсов защищаемого компьютера на обнаружение атак.

Предложенное изобретение далее рассмотрено на примере его предпочтительной реализации применительно к сети Интернет, со ссылками на чертежи, на которых: Фиг. 1 изображает схему атаки, осуществляемой путем подмены абонента компьютерной сети.

Фиг. 2 изображает блок-схему устройства, реализующего наблюдение за размером серий поступающих защищаемому абоненту пакетов данных, при осуществлении способа обнаружения удаленных атак в компьютерной сети согласно настоящему изобретению.

Фиг. 3 изображает блок-схему алгоритма проверки поступающих защищаемому абоненту пакетов данных, выполняемого при осуществлении способа обнаружения удаленных атак в компьютерной сети согласно настоящему изобретению, если наблюдение с помощью устройства, изображаемого фиг. 2, выявило серию, имеющую размер не менее заданного числа пакетов.

Фиг. 4 изображает временные диаграммы работы устройства, изображаемого фиг. 2, и действий при выполнении алгоритма, изображаемого фиг. 3.

В сети Интернет базовым протоколом транспортного уровня является протокол TCP. В соответствии с протоколом TCP информация по компьютерной сети передается в виде пакетов фиксированной величины. Протокол TCP позволяет исправлять ошибки, которые могут возникнуть в процессе передачи пакетов, и является протоколом с установлением логического соединения - виртуального канала. По этому каналу передаются и принимаются пакеты с регистрацией их последовательности, осуществляется управление потоком пакетов, организовывается повторная передача искаженных пакетов, а в конце сеанса канал разрывается. При этом протокол TCP является протоколом, имеющим дополнительную систему идентификации сообщений и соединения. Протоколы прикладного уровня, предоставляющие пользователям удаленный доступ к другим абонентам сети Интернет, реализованы на базе протокола TCP.

TCP-пакет имеет заголовок, содержащий два идентификационных параметра пакета, представляющие собой 32-разрядные двоичные числа. Значения первого и второго идентификационных параметров пакета выполняют функцию текущих номеров, назначенных данному пакету, соответственно, его отправителем и получателем. Пара текущих номеров пакета указывает место данного пакета в последовательности пакетов, передаваемых в сеансе соединения. Кроме этого, TCP-заголовок содержит команды для абонента, которому предназначен пакет, а также его адрес.

Установление TCP-соединения между двумя абонентами сети Интернет, если инициатива принадлежит первому из них, осуществляется в следующем порядке.

Первый абонент посылает в адрес второго абонента пакет, заголовок которого содержит значение первого идентификационного параметра, представляющее собой заданный первым абонентом начальный номер в последовательности текущих номеров пакетов данного сеанса соединения.

Второй абонент отвечает первому посылкой второго пакета сеанса, заголовок которого содержит значение первого идентификационного параметра, представляющее собой присвоенный этому пакету вторым абонентом начальный номер, и значение второго - равное увеличенному на единицу значению начального номера, содержавшемуся в первом пакете сеанса, полученном от первого абонента.

Установление соединения заканчивается отправкой первым абонентом второму еще одного пакета, содержащего увеличенные на единицу значения обоих начальных номеров второго пакета сеанса.

С момента установления соединения первый абонент может посылать второму абоненту пакеты, содержащие данные. Каждый пакет, поступивший во время сеанса соединения его участнику, будет им интерпретирован как очередной пакет данного сеанса, если этот пакет имеет текущие номера, превосходящие на единицу значения текущих номеров предыдущего пакета, в противном случае полученный пакет будет отброшен как ошибочный.

Причиной уязвимости для атак, основанных на подмене абонента, является несовершенство принципов формирования начальных номеров пакетов сеанса, заложенных в наиболее распространенных операционных системах (ОС), используемых абонентами сети Интернет. В большинстве операционных систем применяется времязависимый алгоритм генерации начального номера пакета TCP-соединения. Например, в ОС Windows NT 4.0 это значение увеличивается приблизительно на 10 каждую миллисекунду.

Это дает злоумышленнику возможность приближенно определить вид функции, в соответствии с которой генерируется начальное значение идентификатора пакета. Для исследования ОС абонента сети Интернет злоумышленнику, также являющемуся абонентом этой сети, требуется послать указанному абоненту последовательность обычных запросов на создание TCP-соединения и принять соответствующее количество ответных пакетов, имеющих начальные номера, назначенные исследуемой ОС в каждый момент времени. При этом замеряются временные промежутки между запросом и ответом на него и время, прошедшее между запросами. Как понятно специалисту в численных математических методах, в результате такого исследования может быть построена эмпирическая временная зависимость начального номера, генерируемого исследуемой ОС, позволяющая прогнозировать его значение в виде интервальной оценки. Например, в случае нахождения злоумышленника в одном сегменте сети с выбранным мишенью атаки абонентом, подобная методика позволяет на коротком промежутке времени экстраполировать значение начального номера для ОС Windows NT - с точностью до 10, а для ОС Linux 1.2.8 - с точностью примерно до 100.

Таким образом, предварительное исследование ОС абонента сети Интернет обеспечивает реальную возможность подбора текущих номеров пакета для подмены абонента компьютерной сети.

Значительную опасность вследствие наилучших условий для атаки представляет подмена доверенного абонента, имеющего упрощенный режим доступа, без проверки пароля, используемый в некоторых распространенных ОС, например, в ОС UNIX.

Схему атаки, основанной на подмене абонента иллюстрирует фиг. 1.

На фиг. 1 изображены подменяемый абонент 1, абонент 2, являющийся объектом атаки, и атакующий злоумышленник 3.

Атакующий 3 посылает абоненту 2 пакет, содержащий запрос на установление соединения от имени подменяемого абонента 1. Этот пакет, содержащий начальный номер N03, который задан атакующим 3, через некоторое время достигает абонента 1. Абонент 2, в соответствии с процедурой установления соединения по протоколу TCP, отвечает на полученный пакет запроса пакетом подтверждения, содержащим первый текущий номер, равный начальному номеру, заданному абонентом 2, N2= N02, и второй текущий номер, равный увеличенному на единицу начальному номеру из пакета запроса, N3= N03+1.

Существенной особенностью атаки, основанной на подмене абонента, является то, что атакующий 3 не получает ответов от атакуемого абонента 2, так как все пакеты, посылаемые атакуемым абонентом 2 в ответ на ложные пакеты атакующего 3, адресованы подменяемому абоненту 1. Вмешательство абонента 1 в ответ на подтверждение соединения, которое абонент 1 не запрашивал, помешает продолжению атаки. Поэтому, в данной схеме атаки, атакующему 3 необходимо одновременно атаковать абонента 1, например, серией запросов на установление соединения, чтобы создать у него отказ в обслуживании на время атаки.

Для завершения установления ложного соединения атакующий 3 должен послать абоненту 2 пакет, имеющий верные значения обоих текущих номеров. Один из этих номеров, N3, известен атакующему 3, так как формируется из заданного им самим начального номера пакета запроса. Атакующему 3 из предварительного исследования может быть известен также интервал, в пределах которого с заданной вероятностью находится значение начального номера N02. Однако атакующий 3 может руководствоваться лишь оценкой начального номера N02, так как момент получения от него абонентом 2 ложного пакета запроса и, соответственно, момент присвоения абонентом 2 начального номера N02 пакету подтверждения, зависят от задержки пересылки пакета по сети Интернет. Эта задержка случайным образом может изменяться в пределах от единиц миллисекунд до одной секунды в зависимости от загрузки участка сети между атакующим 3 и абонентом 2 в момент отправки пакета запроса. Поэтому атакующий 3, для завершения установления ложного соединения, вынужден вместо одного пакета послать атакуемому абоненту 2 серию пакетов, обеспечивающую перебор значений начального номера N02 в определенном атакующим 3 интервале. Величина промежутков времени следования пакетов в серии определяет общую продолжительность серии, а поскольку ошибка экстраполяции начального номера N02 пропорциональна интервалу экстраполяции, то чем больше промежутки времени следования пакетов в серии, тем больше требуется размер серии.

Проведенные авторами расчеты показывают, что вероятность успешной атаки падает при увеличении промежутков времени следования пакетов в серии, поэтому выгодной для злоумышленника стратегией является посылка серий с минимальными промежутками времени между пакетами.

Вторая серия пакетов, каждый из которых может содержать команды для получения в дальнейшем доступа к ресурсам абонента 2, должна быть послана атакующим 3 с интервалом времени по отношению к предыдущей серии, выбранным так, чтобы с высокой вероятностью, при случайной задержке передачи по сети, пакет второй серии с правильным значением текущего номера N2= N02+1 достиг абонента 2 после получения им пакета с начальным номером N02 из первой серии пакетов, так как в противном случае атака сорвется. Это означает, что на стороне абонента 2 следующие друг за другом серии пакетов, как правило, не должны перекрываться, то есть разделены интервалом, превышающим промежутки времени между пакетами серии.

Атака возможна также во время сеанса соединения между двумя абонентами сети Интернет путем попытки подмены одного из участников соединения. В этом случае, даже если соединение между абонентами устанавливается с помощью пароля, злоумышленнику не требуется знание пароля, поскольку, после того как соединение установлено, пароль уже не используется участниками соединения.

Атака во время сеанса соединения между абонентами 1 и 2 может проводиться в основном также, как при описанном выше установлении ложного соединения, и также требует создания отказа в обслуживании подменяемого абонента 1. Основное отличие состоит в том, что атака во время сеанса соединения требует подбора обоих текущих номеров, соответственно, N1 и N2, для ложного пакета. При этом размер серий посылаемых пакетов увеличивается в квадрате по отношению к размеру серий, необходимому при установлении ложного соединения. То есть, наибольшую опасность представляет попытка установлении ложного соединения от имени другого абонента, так как при этом требуется минимальный размер серий пакетов, который в наиболее благоприятных для злоумышленника условиях может не превышать нескольких десятков.

Таким образом, атака на абонента компьютерной сети в любом случае характеризуется поступлением этому абоненту с некоторым интервалом по меньшей мере двух серий пакетов, в которых пакеты следуют с малыми промежутками времени.

Согласно настоящему изобретению, способ обнаружения попыток несанкционированного доступа к ресурсам абонента компьютерной сети включает две фазы: первую - постоянное наблюдение за размером поступающих защищаемому абоненту серий TCP-пакетов, в которых пакеты следуют с промежутками времени не более заданного, и вторую - дальнейшую проверку для принятия решения, имеет ли место атака, если наблюдение выявило серию пакетов, размер которой превышает заданное число пакетов.

Если в качестве защищаемого абонента выступает персональный компьютер, то настоящее изобретение может быть реализовано полностью программно, то есть с помощью этих устройств, снабженных соответствующей вычислительной программой, которая будет выполняться центральными процессорами таких устройств. Однако предпочтительным является вариант аппаратной реализации наблюдения за размером серий пакетов и программной реализации фазы проверки, который, с одной стороны, обеспечивает минимальное отвлечение ресурсов защищаемого компьютера на обнаружение атак, и с другой стороны, допускает максимальную гибкость в использовании различных вариантов проверки.

На фиг. 2 изображена блок-схема устройства 4, реализующего наблюдение за размером серий пакетов согласно настоящему изобретению. Устройство 4 изображено во взаимодействии с защищаемым компьютером, абонентом 2, через интерфейс 5, устройство которого, например, при подключении к общей шине компьютера, является очевидным специалисту в данной области техники и не имеет никаких особенностей, связанных с настоящим изобретением.

От абонента 2 в устройство 4 через интерфейс 5 поступают цифровые коды натуральных чисел t0, заданной максимальной величины промежутка времени между соседними пакетами, относимыми к одной серии, и k0, заданного критического размера серии пакетов, обозначенные, соответственно, позициями 6 и 7; импульсы тактовой частоты внутреннего генератора абонента 2 - позиция 8; импульсы пакетов, соответствующие моментам окончания первичной обработки поступающих абоненту 2 TCP-пакетов - позиция 9; логический сигнал установки устройства 4 в исходное состояние - позиция 10.

Обратно от устройства 4 абоненту 2 передаются логические переменные: позицией 11 обозначена переменная S, имеющая значение TRUE от момента, когда первый раз размер наблюдаемой серии достиг значения k0, до момента окончания этой серии, и значение FALSE вне этого промежутка времени; а также обозначенный позицией 12 сигнал логической переменной Flag, имеющей значение TRUE от момента окончания первой обнаруженной серии размера не менее k0 до получения от абонента 2 сигнала установки устройства 4 в исходное состояние, переменная Flag имеет значение FALSE вне этого промежутка времени.

Импульсы тактовой частоты с выхода 8 интерфейса 5 поступают на счетный вход счетчика 13, играющего роль таймера для измерения промежутков времени следования пакетов. Счетчик 13 устанавливается в "0" каждым импульсом пакета с выхода 9 интерфейса 5. Таким образом, число tp в момент прихода очередного импульса пакета пропорционально промежутку времени между этим пакетом и предыдущим. Выходами разрядов счетчик 13 соединен с входами компаратора 14 кодов, выполняющего функцию устройства сравнения промежутка времени tp, подсчитанного счетчиком 13, с заданным значением to, которое заносится из интерфейса 5 в регистр 15 памяти, соединенный с компаратором 14.

Через устройство 16, реализующее функцию логического "И", на счетный вход счетчика 17 пакетов поступают импульсы пакетов. Счетчик 17 подсчитывает число k пакетов, относящихся к текущей серии до тех пор пока значение tp в счетчике 13 не достигнет значения t0. При выполнении условия "tp равно t0" с выхода компаратора 14 на вход сброса счетчика 17 пакетов поступает логический сигнал установки в "0".

Максимальную величину t0 промежутка времени между соседними пакетами, относимыми к одной серии, предпочтительно задавать равной времени, которое требуется защищаемому абоненту компьютерной сети на первичную обработку поступившего пакета, например, 3 мсек. Как правило, пропускная способность сетевого интерфейса, через который абонент подключен к компьютерной сети, имеет запас, обеспечивающий работу сетевого интерфейса без его переполнения при обычном трафике передаваемых сообщений. Факт возрастания потока поступающих пакетов до величины, превышающей пропускную способность сетевого интерфейса используется в настоящем способе как предварительное указание на возможную атаку.

Счетчик 17 соединен выходами разрядов с компаратором 18 кодов, в котором производится сравнение подсчитанного счетчиком 17 размера k серии с заданным критическим размером k0, значение которого заносится из интерфейса 5 в регистр 19 памяти, соединенный с компаратором 18.

Логический сигнал на выходе компаратора 18 представляет логическую переменную S. Логический сигнал с выхода компаратора 18, подаваемый на инвертирующий вход устройства 16, прекращает подачу импульсов пакетов на счетчик 17 при выполнении условия "k равно k0". Фиксация значения k в счетчике 17 на уровне k0 вплоть до окончания текущей серии, если ее размер превышает k0, исключает переполнение счетчика 17 при длительной перегрузке сетевого интерфейса абонента 2.

Сигнал с выхода устройства 20, логического "И", устанавливает триггер 21 в состояние "1" при совпадении условий "tp равно t0" и "k равно k0". Выходной сигнал триггера 21 представляет собой логическую переменную Flag, содержащую информацию о получении серии TCP-пакетов с размером не менее заданного критического размера k0. Сброс триггера 21 осуществляется сигналом от абонента 2, передаваемым по выходу 10 интерфейса 5.

Таким образом, с помощью устройства 4 выполняется постоянное наблюдение за трафиком адресованных защищаемому абоненту пакетов данных, в процессе которого достигается обнаружение серий пакетов с размером не менее критического. Критический размер k0 серии может быть выбран минимальной величины, начиная с которой такая серия пакетов способна обеспечить успешную атаку. Например, если защищаемый абонент использует ОС WINDOWS NT 4.0, величина k0 может быть задана равной 10. Однако предпочтительным является выбор величины k0 на основе компромисса между чувствительностью способа при обнаружении атак и уровнем ложных тревог, определенным по результатам моделирования подмены по меньшей мере одного из доверенных объектов взаимодействия защищаемого абонента.

Как было указано выше, предпочтительна программная реализация алгоритма проверки.

Фазу проверки поступающих защищаемому абоненту TCP-пакетов на предмет атаки иллюстрирует блок-схема алгоритма на фиг. 3.

Выполнение алгоритма начинается с операции 22 проверки значения логической переменной S. Опрос этого значения может производиться с интервалом времени, примерно равным длительности серии размером k0 без риска задержки обнаружения атаки.

Если S равно FALSE, выполняется операция 23 проверки значения логической переменной Flag, если и ее значение равно FALSE, то на этом цикл выполнения алгоритма заканчивается.

Если одна из переменных S или Flag имеет значение TRUE, то выполняется операция 24 по проверке значения вспомогательной логической переменной R, используемой для однократного выполнения операции 25 занесения в память значения момента Ts, когда первая серия пакетов достигает размера k0, после операции 25 выполняется операция 26 назначения переменной R значения TRUE. При повторном выполнении операции 24, когда переменная R равна TRUE, выполняется операция 27, в которой производится сравнение разности между текущим моментом времени, к которому вторая серия пакетов достигла размера k0, и зафиксированным моментом T_s с заданным максимальным интервалом tm времени. Этот интервал может быть задан равным максимальному времени, устанавливаемому защищаемым абонентом для ожидания продолжения сеанса связи, обычно, несколько десятков секунд, по истечении которого связь разрывается абонентом в случае непоступления за это время очередного пакета от партнера по соединению. Если интервал времени между последовательно полученными сериями критического размера не превышает заданного, то выполняется операция 28 присвоения логической переменной Alarm значения TRUE, представляющей собой сигнал тревоги, по которому принимаются меры защиты от атаки.

Если условие операции 27 не выполняется, то осуществляется переход к операциям 29, 30 назначения переменным R и Flag значения FALSE. Последняя операция 30 осуществляется путем передачи сигнала сброса на триггер 21 через интерфейс 5 (фиг. 2) На фиг. 4 изображен примерный вид временных диаграмм величин k, S, Flag, Alarm во время атаки.

Возможно применение более сложных алгоритмов проверки. В частности, после обнаружения серии пакетов, имеющей размер более критического, может производиться дальнейшая оценка размера этой серии и использование различных мер защиты в зависимости от размеров серий. Проверка может включать также хранение в течение определенного времени сведений обо всех фактах получения серий критического размера, в том числе, не вызвавших непосредственно сигнала тревоги, для принятия на определенный период времени дополнительных защитных мер.

В приведенном примере реализации настоящего изобретения под защищаемым абонентом подразумевался персональный компьютер. Однако это не налагает ограничений на вид защищаемого объекта, абонента компьютерной сети, в качестве такового может выступать, например, сервер локальной сети, подключенный к сети Интернет, или периферийное устройство.

Формула изобретения

1. Способ обнаружения попыток несанкционированного удаленного доступа к ресурсам абонента компьютерной сети, в которой связь между абонентами осуществляется путем передачи пакетов данных в соответствии с протоколом ТСР, включающий наблюдение за трафиком поступающих абоненту пакетов данных, проверку этих пакетов по заданным правилам и подачу сигнала для принятия мер защиты от несанкционированного доступа, когда проверка выявляет соответствие указанным правилам, отличающийся тем, что для обнаружения попыток несанкционированного доступа, производимых от обманно присвоенного имени другого абонента сети, проводят наблюдение за трафиком адресованных абоненту пакетов данных, включающее постоянно возобновляемый подсчет числа пакетов, выполняемый в пределах серии пакетов, поступающих подряд друг за другом через промежутки времени не более заданного, при этом проверку поступающих пакетов данных на соответствие заданным правилам выполняют каждый раз, когда размер очередной наблюдаемой серии достигает критического числа пакетов.

2. Способ по п. 1, отличающийся тем, что максимальная величина промежутка времени между соседними пакетами, относимыми к одной серии, задается не менее времени, которое требуется абоненту на первичную обработку поступившего пакета.

3. Способ по п. 1, отличающийся тем, что сигнал для принятия мер по защите от несанкционированного доступа подают, когда в пределах заданного интервала времени с момента окончания одной серии пакетов данных, имеющей размер не менее критического числа пакетов, размер очередной наблюдаемой серии достигает критического.

4. Способ по п. 1, отличающийся тем, что наблюдение за трафиком адресованных абоненту пакетов данных, включающее постоянно возобновляемый подсчет числа пакетов, выполняемый в пределах серии пакетов, поступающих подряд друг за другом через промежутки времени не более заданного, выполняют с помощью приспособленного для этого вычислительного устройства, обменивающегося сигналами с указанным абонентом.

РИСУНКИ

Рисунок 1, Рисунок 2, Рисунок 3, Рисунок 4