Способ защиты вычислительных сетей

Изобретение относится к электросвязи и может быть использовано в системах обнаружения атак с целью оперативного выявления и противодействии несанкционированным воздействиям в вычислительных сетях.

Известен "Способ мониторинга безопасности автоматизированных систем" по патенту РФ №2261472, кл. G06F 12/14, 11/00 заявл. 29.03.2004. Известный способ включает следующую последовательность действий. Ведение учета правил установления и ведения сеанса связи путем увеличения количества запоминаемых пакетов сообщений и введения максимально допустимого количества пакетов сообщений, что необходимо для обеспечения устойчивого функционирования автоматизированных систем. При этом для проведения мониторинга предварительно определяют порог срабатывания (чувствительности) системы мониторинга безопасности автоматизированной системы, который определяется максимально допустимым количеством пакетов сообщений и количеством эталонов, причем значения показателей могут выбираться в зависимости от требуемой достоверности обнаружения атаки.

Недостатком данного способа является относительно низка достоверность обнаружения несанкционированных воздействий в вычислительных сетях, что обусловлено отсутствием правил установления и ведения сеанса связи.

Известен также "Способ контроля информационных потоков в цифровых сетях связи" по патенту РФ №2267154, класс G06F 15/40, заявл. 13.07.2004, заключающийся в том, что предварительно задают N≥1 опорных идентификаторов санкционированных информационных потоков (ИП), содержащих адреса отправителей и получателей пакетов сообщений, принимают из канала связи пакет сообщений, выделяют из заголовка принятого пакета сообщений идентификатор ИП, сравнивают выделенный идентификатор с предварительно заданными опорными идентификаторами санкционированных ИП и при их совпадении передают пакет сообщений получателю, а при их несовпадении сравнивают адрес отправителя, указанный в идентификаторе принятого пакета сообщений с адресами отправителей, указанными в опорных идентификаторах санкционированных ИП.

Недостатком данного способа является относительно низка защищенность от несанкционированных воздействий, признаками наличия которых являются несанкционированные ИП.

Известен Наиболее близким по своей технической сущности к заявленному является второй вариант "Способа защиты вычислительных сетей" по патенту РФ №2307392, класс G06F 21/00, H04L 9/32, заявл. 02.05.2006, заключающийся в том, что предварительно задают Р≥1 ложных адресов абонентов вычислительной сети, эталоны идентификаторов типа протоколов взаимодействия, врем задержки отправки пакетов сообщений t_зад, а при несовпадении выделенных идентификаторов очередного принятого пакета с идентификаторами ранее запомненного i-го несанкционированного информационного потока сравнивают адрес получателя в принятом пакете сообщений с предварительно заданными ложными адресами абонентов вычислительной сети, и при их несовпадении, а так же при выполнении условия Ki>Kmax, блокируют передачу пакета сообщений и переходят к приему очередного пакета сообщений, а при несовпадении адреса отправителя в принятом пакете сообщений с адресами отправителей опорных идентификаторов санкционированных информационных потоков или совпадении адреса получателя в принятом пакете сообщений с адресами получателей опорных идентификаторов санкционированных информационных потоков, или его совпадении с предварительно заданными ложными адресами абонентов вычислительной сети запоминают идентификатор очередного несанкционированного информационного потока, увеличивают на единицу число его появлений Кi и в случае невыполнении условия Кi≥Кmax, формируют ответный пакет сообщений, соответствующий идентифицируемому протоколу взаимодействия, а затем через заданное время задержки отправки пакетов сообщений t_зад снижают скорость передачи сформированного пакета сообщений и передают его отправителю, после чего принимают из канала связи очередной пакет сообщений.

Недостатком данного способа является относительно низкая защищенность от несанкционированного воздействия, обусловленная отсутствием контроля последовательности воздействий на вычислительную сеть и определения выбранной нарушителем стратегии, что может повлиять на своевременность и адекватность осуществляемых защитных действий.

Наиболее близким по своей технической сущности к заявленному является "Способ защиты вычислительных сетей" по патенту РФ № 2475836, класс G06F 21/00, H04L 9/32, заявл. 12.03.2012, заключающийся в том, что предварительно запоминают N≥1 опорных идентификаторов санкционированных информационных потоков, содержащих адреса отправителей и получателей пакетов сообщений, задают Р≥1 ложных адресов абонентов вычислительной сети, задают множество эталонных наборов появлений несанкционированных информационных потоков отличающихся друг от друга идентификаторами S_эт={S_j}, а так же задают пороговое значение коэффициента совпадения Q_{совп порог} последовательности появлений несанкционированного информационного потока с соответствующим эталонным набором, после выделения идентификаторов из заголовка очередного принятого пакета сообщений и их сравнения с опорными идентификаторами, при несовпадении адреса получателя в принятом пакете сообщений несанкционированного информационного потока с заданными ложными адресами абонентов вычислительной сети дополнительно добавляют его в список предварительно заданных ложных адресов абонентов вычислительной сети, затем передают пакет сообщения на заданные ложные адреса абонентов вычислительной сети, сравнивают идентификаторы появления К_i принимаемого несанкционированного потока со значениями имеющимися в эталонных наборах S_j появлений несанкционированных информационных потоков, при несовпадении формируют новый S_j+1 эталонный набор и запоминают его, после сравнивают значения полученного коэффициента совпадения Q_совп с пороговым значением Q_{совп порог.,} и при выполнении условия Q_совпQ_{совп порог} блокируют несанкционированный информационный поток, и формируют сигнал атаки на вычислительную сеть.

Техническая проблема заключается в относительно низкой эффективности системы защиты и ложной вычислительной сети, обусловленной использованием их на каждой локально-вычислительной сети распределенной системы, а также отсутствия взаимного обмена последовательностями воздействий нарушителя между ними.

Техническим результатом является повышение эффективности системы защиты, в том числе достоверности обнаружения несанкционированного воздействия на вычислительную сеть за счет существенного сокращения количества элементов ложной вычислительной сети и формирования единого множества последовательностей действий нарушителя.

Технический проблема решается тем, что в способе защиты вычислительных сетей выполняется следующая последовательность действий, предварительно запоминают N≥1 опорных идентификаторов санкционированной информационных потоков, содержащих адреса отправителей и получателей потоков сообщений, задают P≥1 элементов ложной вычислительной сети, задают множество эталонных наборов проявлений несанкционированных информационных потоков S_эт={S_j} соответствующих определенным типам компьютерных атак S_j={C_r}, а также задают пороговое значение коэффициента совпадения Q_{совп.порг} последовательности появления несанкционированного информационного потока с соответствующим эталонным набором, принимают очередной пакет сообщений и определяют его легитимность, для чего выделяют из его заголовка идентификаторы, которые сравнивают с опорными идентификаторами, и идентифицируют несанкционированный информационный поток, для чего сравнивают идентификаторы появления К_i принимаемого несанкционированного потока со значениями С_r в эталонных наборах S_j появлений несанкционированных информационных потоков, и при несовпадении формируют новый S_j+1 эталонный набор и запоминают его во множестве эталонных наборов появлений несанкционированного информационного потока, а при совпадении запоминают номера эталонных наборов, которым принадлежит i-ое появление несанкционированного информационного потока, и вычисляют значение коэффициента совпадения Q_совп последовательности появлений несанкционированного информационного потока с запомненными эталонными наборами, после чего сравнивают значения полученного коэффициента совпадения Q_совп с пороговым значением Q_{совп порог}, согласно изобретению дополнительно формируют множество вычислительных сетей M составляющих распределенную информационную систему, а также задают IP адреса единой ложной вычислительной сети. Затем после выделения идентификаторов из заголовка очередного принятого пакета сообщений и их сравнения с опорными идентификаторами на одной из вычислительных сетей M_k, при несовпадении передают данный пакет на единую ложную вычислительную сеть, для чего записывают значения полей IP адресов получателя и отправителя в поле данных пакета, а в поле заголовка IP адрес единой ложной вычислительной сети. Принимают текущий пакет в единой ложной вычислительной сети и выделяют из него IP адреса получателя и отправителя абонентов вычислительной сети M_k, после чего сравнивают данные адреса с адресами получателей и отправителей несанкционированных информационных потоков, ранее принятых на единой ложной вычислительной сети, и при их несовпадении используют очередной свободный элемент ложной вычислительной сети для дальнейшей обработки пакета сообщения, а при их совпадении передают этот пакет сообщения на соответствующий элемент единой ложной вычислительной сети обрабатывающий этот несанкционированный информационный поток от вычислительной сети M_k. После идентификации несанкционированного потока вычисляется значение коэффициентов совпадения Q_совп последовательности проявления несанкционированного информационного потока, а при невозможности идентификации запоминают данные проявления как новый эталонный набор S_j+1 в единой базе данных эталонных наборов используемую для обработки несанкционированных информационных потоков от всех вычислительных сетей. Затем после сравнения полученного значения коэффициентов совпадения Q_совп с пороговым значением Q_{совп порг}, и в случае его превышения формируют служебный пакет для средства защиты вычислительной сети M_k о необходимости блокировки несанкционированного информационного потока, и передают его на соответствующую вычислительную сеть. После чего освобождают элемент единой ложной вычислительной сети от обработки данного несанкционированного информационного потока, и отмечают его как свободный для обработки очередных пакетов сообщений несанкционированных информационных потоков, а в случае выполнения условия Q_совп≥ Q_{совп порг} формируют ответный пакет сообщения, для чего в заголовок записывают ранее выделенные значения IP адресов отправителя и получателя абонентов вычислительной сети M_k ,и передают его.

Проведенный анализ уровня техники позволил установить, что аналоги, характеризующиеся совокупностями признаков, тождественным всем признакам заявленного способа, отсутствуют. Следовательно, заявленное изобретение соответствует условию патентоспособности "новизна".

Перечисленная новая совокупность существенных признаков обеспечивает расширение возможности способа прототипа за счет существенного сокращения количества элементов ложной вычислительной сети и формирования единого множества последовательностей действий нарушителя.

Результаты поиска известных решений в данной и смежной областях техники с целью выявления признаков, совпадающих с отличительными от прототипов признаками заявленного изобретения, показали, что они не следуют явным образом из уровня техники. Из определенного заявителем уровня техники не выявлена известность влияния предусматриваемых существенными признаками заявленного изобретения на достижение указанного технического результата. Следовательно, заявленное изобретение соответствует условию патентоспособности "изобретательский уровень".

«Промышленная применимость» способа обусловлена наличием элементной базы, на основе которой могут быть выполнены устройства, реализующие данный способ с достижением указанного в изобретении результата.

Заявленный способ поясняется чертежами, на которых показано:

на фиг. 1 – схема поясняющая построение рассматриваемой сети;

на фиг. 2 – блок-схема алгоритма способа защиты вычислительных сетей (ВС).

Реализация заявленного способа можно пояснить на схеме вычислительной сети, показанной на фиг. 1.

Показанная ВС состоит из маршрутизаторы 1 подключающие внутренние вычислительные сети 2 к внешней сети 3. Внутренняя вычислительная сеть в свою очередь состоит из защищаемой локально-вычислительной сети (ЛВС) 4. В общем случае защищаемая ЛВС 4 представляет собой совокупность ПЭВМ 4.1₁–4.1_N, периферийного и коммуникационного оборудования 6, объединенного физическими линиями связи. Все эти элементы определяются идентификаторами, в качестве которых в наиболее распространенном стеке протоколов TCP/IP используются сетевые адреса (IP-адреса). Кроме того имеется средство защиты 8.

Ложная ЛВС 5 состоит из ПЭВМ 5.1₁–5.1_P, являющиеся элементами единой ложной вычислительной сети и имеющие ложные адреса, а также средство защиты 8 и единую базу данных 9 эталонного набора появлений несанкционированных информационных потоков.

На фиг. 2 представлена блок-схема последовательности действий, реализующих алгоритма способа защиты ВС, в которой приняты следующие обозначения:

N≥1 – база из опорных идентификаторов санкционированных ИП, содержащих адреса отправителей и получателей пакетов сообщений;

P≥1 – база из ложных адресов абонентов вычислительной сети;

t_зад – время задержки отправки пакетов сообщений;

ID – идентификатор ИП;

{ID_o} – совокупность опорных идентификаторов санкционированных ИП;

ID_нс – идентификатор несанкционированного ИП;

{ID_нс} – совокупность идентификаторов ранее запомненного несанкционированного ИП;

M – множество вычислительных сетей составляющих распределенную информационную систему;

M_k – определенная вычислительная сеть из множества М;

IP_o – адрес отправителя, указанный в идентификаторе принятого пакета сообщений;

IP_п –адресов получателя, указанный в идентификаторе принятого пакета сообщений;;

{IP_л} – совокупность адресов ложной вычислительной сети;

S_эт – множество эталонных наборов появлений несанкционированных ИП;

S_j – эталонный набор соответствующий определенному j-му типу компьютерной атаки;

С_r – последовательность появлений несанкционированного ИП отличающихся друг от друга идентификаторами;

Q_{совп порог} – пороговое значение коэффициента совпадения последовательности появлений несанкционированного ИП;

Q_совп – значение коэффициента совпадения последовательности появлений несанкционированного ИП.

В большинстве случаев распределенные информационные системы учреждений (предприятий) состоят из нескольких локальных вычислительных сетей (ЛВС), при этом их количество варьирует от 5 до 50 [Ю. В. Чекмарев Локальные вычислительные сети. М.: ДМК Пресс – 2009.,
с. 168] в соответствии с количеством структурных подразделений (филиалов), а также функциональной необходимостью (различают сети для различных служб учреждения). Например, для предприятия имеющего 5-6 филиалов в каждом из которых по 2-3 сети (финансовая, справочная, техническая), всего получится 10-18 ЛВС объединенных в единую распределенную информационную систему.

На фиг. 3 представлена блок-схема последовательности действий, реализующих алгоритм способа защиты вычислительных сетей.

Первоначально задают исходные данные: база из опорных идентификаторов санкционированных ИП, содержащих адреса отправителей и получателей пакетов сообщений; база из ложных адресов абонентов вычислительной сети; значение коэффициента совпадения последовательности появлений несанкционированного ИП (блок 1, Фиг. 2).

Затем формируется единая ложная вычислительная сеть состоящая из определенного количества требуемых элементов, достаточных для обработки несанкционированных информационных потоков (ИП) и единой базы данных эталонных наборов проявлений несанкционированных ИП (блок 2, Фиг. 2).

Далее принимают очередной пакет сообщений и определяют его легитимность и при несовпадении передают данный пакет на единую ложную вычислительную сеть, для чего записывают значения полей IP адресов получателя и отправителя в поле данных пакета, а в поле заголовка IP адрес единой ложной вычислительной сети (блок 4–11, Фиг. 2).

Таким образом, пакеты сообщений, относящиеся к несанкционированным информационным потокам от всех ЛВС, передаются на единую ложную вычислительную сеть, в которой данные пакеты распределяются по свободным элементам ложной вычислительной сети для дальнейшей обработки пакета сообщения с учетом возможности формирования поточной структуры, при которой пакеты, относящиеся к одному сообщению несанкционированного информационного потока обрабатываются одним и тем же элементом ложной вычислительной сети (блок 11–18, Фиг. 2).

При этом формирование и использование единой базы данных эталонного набора появлений несанкционированных информационных потоков позволяет существенно уменьшить время на поддержания актуализации данной базы данных, под которой понимается соответствие ее содержания для любого момента времени реальным данных о состоянии системы [Коннолли Т., Бегг К. Базы данных. Проектирование, реализация и сопровождение. М. : Издательский дом "Вильяме" – 2003., с. 242, 725].

Далее при выполнении условия Q_совпQ_{совп порог} формируют служебный пакет для средства защиты вычислительной сети M_k о необходимости блокировки несанкционированного информационного потока, и передают его на соответствующую вычислительную сеть, после чего освобождают элемент единой ложной вычислительной сети от обработки данного несанкционированного информационного потока, и отмечают его как свободный для обработки очередных пакетов сообщений несанкционированных информационных потоков, а в случае выполнения условия Q_совп≥ Q_{совп порг} формируют ответный пакет сообщения, для чего в заголовок записывают ранее выделенные значения IP адресов отправителя и получателя абонентов вычислительной сети M_k ,и передают его (блок 20–24, Фиг.2).

Достижение технического результата поясняется следующим образом. Для предлагаемого способа в отличие от способа-прототипа для формирования единой ложной вычислительной сети требуется в несколько раз меньше сетевых элементов, а требуемые ресурсы канала связи для передачи пакетов сообщений при взаимодействии с единой ложной вычислительной сети имеют не значительные значения [Методический подход к оцениванию эффективности ложных информационных систем. Язов Ю. К. // Вопросы кибербезопасности №1(2) – 2014] и составляют тысячные доли процентов от загруженности канала связи. Это позволяет сделать вывод, что в отличие от способа-прототипа, эффективность системы защиты увеличится за счет существенного сокращения количества элементов ложной вычислительной сети и формирования единого множества последовательностей действий нарушителя и существенно низких значений загруженности канала связи служебными пакетами сообщений.

Таким образом, заявленный способ за счет существенного сокращения количества элементов ложной вычислительной сети и формирования единого множества последовательностей действий нарушителя позволяет повысить эффективности системы защиты, в том числе достоверности обнаружения несанкционированного воздействия на вычислительную сеть.

Способ защиты вычислительных сетей, заключающийся в том, что предварительно запоминают N≥1 опорных идентификаторов санкционированных информационных потоков, содержащих адреса отправителей и получателей потоков сообщений, задают P≥1 элементов ложной вычислительной сети, задают множество эталонных наборов проявлений несанкционированных информационных потоков S_эт={S_j}, соответствующих определенным типам компьютерных атак S_j={C_r}, а также задают пороговое значение коэффициента совпадения Q_{совп.порг} последовательности появления несанкционированного информационного потока с соответствующим эталонным набором, принимают очередной пакет сообщений и определяют его легитимность, для чего выделяют из его заголовка идентификаторы, которые сравнивают с опорными идентификаторами, и идентифицируют несанкционированный информационный поток, для чего сравнивают идентификаторы появления К_i принимаемого несанкционированного потока со значениями С_r в эталонных наборах S_j появлений несанкционированных информационных потоков, и при несовпадении формируют новый S_j+1 эталонный набор и запоминают его во множестве эталонных наборов появлений несанкционированного информационного потока, а при совпадении запоминают номера эталонных наборов, которым принадлежит i-е появление несанкционированного информационного потока, и вычисляют значение коэффициента совпадения Q_совп последовательности появлений несанкционированного информационного потока с запомненными эталонными наборами, после чего сравнивают значения полученного коэффициента совпадения Q_совп с пороговым значением Q_{совп порог}, отличающийся тем, что дополнительно формируют множество вычислительных сетей M, составляющих распределенную информационную систему, а также задают IP адреса единой ложной вычислительной сети, затем после выделения идентификаторов из заголовка очередного принятого пакета сообщений и их сравнения с опорными идентификаторами на одной из вычислительных сетей M_k при несовпадении передают данный пакет на единую ложную вычислительную сеть, для чего записывают значения полей IP адресов получателя и отправителя в поле данных пакета, а в поле заголовка IP адрес единой ложной вычислительной сети, принимают текущий пакет в единой ложной вычислительной сети и выделяют из него IP адреса получателя и отправителя абонентов вычислительной сети M_k, после чего сравнивают данные адреса с адресами получателей и отправителей несанкционированных информационных потоков, ранее принятых на единой ложной вычислительной сети, и при их несовпадении используют очередной свободный элемент ложной вычислительной сети для дальнейшей обработки пакета сообщения, а при их совпадении передают этот пакет сообщения на соответствующий элемент единой ложной вычислительной сети, обрабатывающий этот несанкционированный информационный поток от вычислительной сети M_k, после идентификации несанкционированного потока вычисляется значение коэффициентов совпадения Q_совп последовательности проявления несанкционированного информационного потока, а при невозможности идентификации запоминают данные проявления как новый эталонный набор S_j+1 в единой базе данных эталонных наборов используемой для обработки несанкционированных информационных потоков от всех вычислительных сетей, затем после сравнения полученного значения коэффициентов совпадения Q_совп с пороговым значением Q_{совп. порг}, и в случае его превышения формируют служебный пакет для средства защиты вычислительной сети M_k о необходимости блокировки несанкционированного информационного потока и передают его на соответствующую вычислительную сеть, после чего освобождают элемент единой ложной вычислительной сети от обработки данного несанкционированного информационного потока и отмечают его как свободный для обработки очередных пакетов сообщений несанкционированных информационных потоков, а в случае выполнения условия Q_совп≥ Q_{совп. порг} формируют ответный пакет сообщения, для чего в заголовок записывают ранее выделенные значения IP адресов отправителя и получателя абонентов вычислительной сети M_k, и передают его.