Способ защиты вычислительных сетей на основе адаптивного взаимодействия

Изобретение относится к электросвязи и может быть использовано в системах обнаружения атак с целью оперативного выявления и противодействии несанкционированным воздействиям в вычислительных сетях.

Известен "Способ мониторинга безопасности автоматизированных систем" по патенту РФ №2261472, кл. G06F 12/14, 11/00 заявл. 29.03.2004. Известный способ включает последовательность действий выраженных в ведении учета правил установления, ведения сеанса связи путем увеличения количества запоминаемых пакетов сообщений и введения максимально допустимого количества пакетов сообщений, что необходимо для обеспечения устойчивого функционирования автоматизированных систем. При этом для проведения мониторинга предварительно определяют порог срабатывания (чувствительности) системы мониторинга безопасности автоматизированной системы, который определяется максимально допустимым количеством пакетов сообщений и количеством эталонов, причем значения показателей могут выбираться в зависимости от требуемой достоверности обнаружения атаки.

Недостатком данного способа является относительно низкая достоверность обнаружения несанкционированных воздействий в вычислительных сетях, что обусловлено отсутствием правил установления и ведения сеанса связи.

Известен также "Способ контроля информационных потоков в цифровых сетях связи" по патенту РФ №2267154, класс G06F 15/40, заявл. 13.07.2004, заключающийся в том, что предварительно задают N≥1 опорных идентификаторов санкционированных информационных потоков (ИП), содержащих адреса отправителей и получателей пакетов сообщений, принимают из канала связи пакет сообщений, выделяют из заголовка принятого пакета сообщений идентификатор ИП, сравнивают выделенный идентификатор с предварительно заданными опорными идентификаторами санкционированных ИП и при их совпадении передают пакет сообщений получателю, а при их несовпадении сравнивают адрес отправителя, указанный в идентификаторе принятого пакета сообщений с адресами отправителей, указанными в опорных идентификаторах санкционированных ИП.

Недостатком данного способа является относительно низкая защищенность от несанкционированных воздействий, признаками наличия которых являются несанкционированные ИП.

Известен также "Способ защиты вычислительных сетей" по патенту РФ №2307392, класс G06F 21/00, H04L 9/32, заявл. 02.05.2006, заключающийся в том, что предварительно задают Р≥1 ложных адресов абонентов вычислительной сети, эталоны идентификаторов типа протоколов взаимодействия, врем задержки отправки пакетов сообщений t_зад, а при несовпадении выделенных идентификаторов очередного принятого пакета с идентификаторами ранее запомненного i-го несанкционированного информационного потока сравнивают адрес получателя в принятом пакете сообщений с предварительно заданными ложными адресами абонентов вычислительной сети, и при их несовпадении, а так же при выполнении условия K_i>K_max, блокируют передачу пакета сообщений и переходят к приему очередного пакета сообщений, а при несовпадении адреса отправителя в принятом пакете сообщений с адресами отправителей опорных идентификаторов санкционированных информационных потоков или совпадении адреса получателя в принятом пакете сообщений с адресами получателей опорных идентификаторов санкционированных информационных потоков, или его совпадении с предварительно заданными ложными адресами абонентов вычислительной сети запоминают идентификатор очередного несанкционированного информационного потока, увеличивают на единицу число его появлений К_i и в случае невыполнении условия К_i≥К_max, формируют ответный пакет сообщений, соответствующий идентифицируемому протоколу взаимодействия, а затем через заданное время задержки отправки пакетов сообщений t_зад снижают скорость передачи сформированного пакета сообщений и передают его отправителю, после чего принимают из канала связи очередной пакет сообщений.

Недостатком данного способа является относительно низкая защищенность от несанкционированного воздействия, обусловленная отсутствием контроля последовательности воздействий на вычислительную сеть и определения выбранной нарушителем стратегии, что может повлиять на своевременность и адекватность осуществляемых защитных действий.

Наиболее близким по технической сущности к предлагаемому способу является "Способ защиты вычислительных сетей" по патенту РФ №2475836, класс G06F 21/00, H04L 9/32, опубл.  20.02.2016, бюл. № 5. Способ-прототип заключается в следующих действиях: задают множество эталонных наборов появлений несанкционированных информационных потоков отличающихся друг от друга идентификаторами S_эт={S_j}, где j – заданное количество эталонных наборов соответствующих определенным типам компьютерных атак, S_j={С_r}, где С_r – определенная последовательность появлений несанкционированного информационного потока, отличающихся друг от друга идентификаторами, а так же задают пороговое значение коэффициента совпадения Q_{совп_порог} последовательности появлений несанкционированного информационного потока с соответствующим эталонным набором. После выделения идентификаторов из заголовка очередного принятого пакета сообщений и их сравнения с опорными идентификаторами, при несовпадении адреса получателя в принятом пакете сообщений несанкционированного информационного потока с заданными ложными адресами абонентов вычислительной сети дополнительно добавляют его в список предварительно заданных ложных адресов абонентов вычислительной сети. Затем передают пакет сообщения несанкционированного информационного потока на заданные ложные адреса абонентов вычислительной сети, и идентифицируют несанкционированный информационный поток. Для чего сравнивают идентификаторы появления К_i принимаемого несанкционированного потока со значениями С_r в эталонных наборах S_j появлений несанкционированных информационных потоков, и при несовпадении формируют новый S_j+1 эталонный набор и запоминают его во множестве эталонных наборов появлений несанкционированного информационного потока, а при совпадении запоминают номера эталонных наборов, которым принадлежит i-ое появление несанкционированного информационного потока. ИП. После чего сравнивают значения полученного коэффициента совпадения Q_совп с пороговым значением Q_{совп_порог.} и при выполнении условия Q_совпQ_{совп_порог} блокируют i-ый несанкционированный информационный поток, и формируют сигнал атаки на вычислительную сеть, а при невыполнении условия после формирования ответного пакета сообщений увеличивают время задержки отправки пакетов сообщений t_зад на заданный интервал времени .

Техническая проблема заключается в низкой защищенности вычислительных сетей, обусловленная тем, что осуществляемый контроль последовательности воздействий на вычислительную сеть имеет существенно неизменяемый характер и не учитывает возможности адаптации взаимодействия ложных адресов абонентов вычислительной сети с несанкционированными информационными потоками.

Техническая проблема решается за счет реализации адаптации взаимодействия ложных адресов абонентов вычислительной сети с несанкционированными информационными потоками.

Техническим результатом является повышение защищенности вычислительных сетей за счет реализации адаптации взаимодействия ложных адресов абонентов вычислительной сети с несанкционированными информационными потоками путем определения следующих появлений несанкционированного информационного потока на основе выявленных текущих проявлений.

Техническая проблема решается тем, что в способе защиты вычислительных сетей на основе адаптивного взаимодействия, заключающийся в том, что предварительно запоминают N≥1 опорных идентификаторов санкционированных информационных потоков, содержащих адреса отправителей и получателей пакетов сообщений, задают Р≥1 ложных адресов абонентов вычислительной сети, задают множество эталонных наборов появлений несанкционированных информационных потоков, отличающихся друг от друга идентификаторами S_эт={S_j}, где j – заданное количество эталонных наборов соответствующих определенным типам компьютерных атак, в котором S_j={С_r}, где С_r – определенная последовательность появлений несанкционированного информационного потока, отличающихся друг от друга идентификаторами, принимают очередной пакет сообщений и определяют его легитимность, для чего выделяют из его заголовка идентификаторы, которые сравнивают с опорными идентификаторами и при их совпадении передают легитимный пакет сообщений получателю, после чего принимают очередной пакет сообщений и повторяют совокупность действий по определению его легитимности, а при отсутствии совпадения запоминают идентификаторы принятого несанкционированного информационного потока, присваивают ему очередной i-й идентификационный номер, затем передают пакет сообщения несанкционированного информационного потока на заданные ложные адреса абонентов вычислительной сети и идентифицируют несанкционированный информационный поток, для чего сравнивают идентификаторы появления К_i принимаемого несанкционированного потока со значениями С_r в эталонных наборах S_j появлений несанкционированных информационных потоков и при их совпадении блокируют передачу пакета сообщений и переходят к приему очередного пакета сообщений, а при несовпадении формируют ответный пакет сообщений, отличающийся тем, что, в исходные данные дополнительно задают множество информационных ресурсов P_доп имеющихся на каждом Р ложном адресе абонентов вычислительной сети, а так же задают начальное пороговое значение коэффициента совпадения Q^нач _{совп порог} и конечное пороговое значение коэффициента совпадения Q^кон _{совп порог} последовательности появлений несанкционированного информационного потока с соответствующим эталонным набором j, после передачи пакета сообщения несанкционированного информационного потока на заданные ложные адреса абонентов вычислительной сети выделяют из них идентификаторы появления К_i несанкционированного информационного потока, и определяют для него требуемый информационный ресурс P_доп, после чего предоставляют его для взаимодействия с соответствующим появлением несанкционированного информационного потока К_i, затем вычисляют текущее значение коэффициента совпадения Q^тек _совп последовательности появлений несанкционированного информационного потока с эталонными наборами S_эт, после чего сравнивают значения полученного коэффициента совпадения Q^тек _совп с начальным пороговым значением Q^нач _{совп порог} и при выполнении условия Q^тек _совп Q^нач _{совп порог} запоминают эталонный набор S_j соответствующий текущей последовательности появлений несанкционированного информационного потока, а при невыполнении условия принимают очередной пакет сообщений для дальнейшего определения его легитимности, затем сравнивают значения полученного коэффициента совпадения Q^тек _совп с конечным пороговым значением Q^кон _{совп порог} и при выполнении условия Q^тек _совп Q^кон _{совп порог} блокируют i-ый несанкционированный информационный поток и формируют сигнал атаки на вычислительную сеть, а при невыполнении условия определяют последующее появление С_i+1 несанкционированного информационного потока из запомненного эталонного набора S_j и формируют для него ответный пакет сообщения, а затем передают его.

Проведенный анализ уровня техники позволил установить, что аналоги, характеризующиеся совокупностями признаков, тождественным всем признакам заявленного способа, отсутствуют. Следовательно, заявленные изобретения соответствуют условию патентоспособности "новизна".

Перечисленная новая совокупность существенных признаков обеспечивает расширение возможности способа прототипа за счет адаптации взаимодействия ложных адресов абонентов вычислительной сети с несанкционированными информационными потоками путем определения следующих появлений несанкционированного информационного потока на основе выявленных текущих проявлений.

Результаты поиска известных решений в данной и смежной областях техники с целью выявления признаков, совпадающих с отличительными от прототипов признаками заявленного изобретения, показали, что они не следуют явным образом из уровня техники. Из определенного заявителем уровня техники не выявлена известность влияния предусматриваемых существенными признаками заявленного изобретения на достижение указанного технического результата. Следовательно, заявленное изобретение соответствуют условию патентоспособности "изобретательский уровень".

"Промышленная применимость" способа обусловлена наличием элементной базы, на основе которой могут быть выполнены устройства, реализующие данный способ с достижением указанного в изобретениях результата.

Заявленный способ поясняется чертежами, на которых показаны:

на фиг. 1 – схема, поясняющая построение рассматриваемой сети;

на фиг. 2 – блок-схема алгоритма способа защиты вычислительных сетей на основе адаптивного взаимодействия.

Реализация заявленного способа можно пояснить на схеме вычислительной сети (ВС), показанной на фиг.1.

Показанная ВС состоит из маршрутизатора 1, подключающего внутреннюю вычислительную сеть 2 к внешней сети 3. Внутренняя вычислительная сеть состоит из защищаемой локально-вычислительной сети (ЛВС) 4 и ложной ЛВС 5. В общем случае защищаемая ЛВС 4 представляет собой совокупность ПЭВМ 4.1₁–4.1_N, периферийного и коммуникационного оборудования 6, объединенного физическими линиями связи. Все эти элементы определяются идентификаторами, в качестве которых в наиболее распространенном стеке протоколов TCP/IP используются сетевые адреса (IP-адреса). Ложная ЛВС 5 состоит из ПЭВМ 5.1₁–5.1_P имеющие ложные адреса, а также сетевых элементов с информационными ресурсами 5.2₁–5.2_Pдоп. Кроме того имеется средство защиты 7 и база данных 8 эталонного набора появлений несанкционированных информационных потоков. При этом для продолжительного взаимодействия с несанкционированными информационными потоками имеется база данных 9 идентификаторов и последовательности их проявлений. Данная база данных позволяет осуществлять взаимодействие с злоумышленником в достаточно продолжительном интервале времени за счет добавления в нее идентификаторов несанкционированных информационных потоков и внесения изменений при возникновении соответствующих новых его проявлений.

На фиг. 2 представлена блок-схема алгоритма способа защиты вычислительных сетей на основе адаптивного взаимодействия, в которой приняты следующие обозначения:

N≥1 – база из опорных идентификаторов санкционированных ИП, содержащих адреса отправителей и получателей пакетов сообщений;

P≥1 – база из ложных адресов абонентов вычислительной сети;

ID – идентификатор ИП;

{ID_o} – совокупность опорных идентификаторов санкционированных ИП;

ID_нс – идентификатор несанкционированного ИП;

{ID_нс} – совокупность идентификаторов ранее запомненного несанкционированного ИП;

IP_o – адрес отправителя, указанный в идентификаторе принятого пакета сообщений;

{IP_oo} – совокупность адресов отправителей, указанных в опорных идентификаторах санкционированных ИП;

{IP_л} – совокупность ложных адресов абонентов вычислительной сети;

S_эт – множество эталонных наборов появлений несанкционированных ИП;

S_j – эталонный набор соответствующий определенному j-му типу компьютерной атаки;

С_r – последовательность появлений несанкционированного ИП отличающихся друг от друга идентификаторами;

Q^нач_{совп порог} – начальное пороговое значение коэффициента совпадения последовательности появлений несанкционированного ИП;

Q^кон_{совп порог} – конечное пороговое значение коэффициента совпадения последовательности появлений несанкционированного ИП;

Q_совп – значение коэффициента совпадения последовательности появлений несанкционированного ИП.

При обнаружении несанкционированных воздействий последовательность их проявлений при реализации различных компьютерных атак, особенно на начальном этапе, будет совпадать, что существенно затрудняет их определение и соответственно правильность выбора ответных действий. В этом случае возникает необходимость адаптивного взаимодействия ложных адресов абонентов вычислительной сети со злоумышленником.

Адаптация это процесс изменения параметров и структуры системы, а возможно, и управляющих воздействий на основе текущей информации с целью достижения определенного, обычно оптимального состояния системы при начальной неопределенности и изменяющихся условиях работы [Растригин Л. А. Адаптация сложных систем. — Рига: Зинатне, 1981, стр. 8].

Таким образом, в заявленном способе предполагается адаптация взаимодействия ложных адресов абонентов вычислительной сети с несанкционированными информационными потоками путем определения следующих появлений несанкционированного информационного потока на основе выявленных текущих проявлений. При этом, последовательность действий злоумышленника является существенно неопределенной и выработка управляющего воздействия осуществляется только на основе текущей информации в режиме реального времени. Кроме того, могут быть сформированы ответные пакеты, передаваемые злоумышленнику, которые приведут к изменению его стратегии воздействия, то есть вынуждать его к переходу реализации другой атаки наиболее выгодной (имеющей меньший ущерб) для системы защиты.

Первоначально задают исходные данные: база данных из опорных идентификаторов санкционированных ИП, содержащих адреса отправителей и получателей пакетов сообщений; база данных из ложных адресов абонентов вычислительной сети; начальное и конечное значение коэффициента совпадения последовательности появлений несанкционированного ИП (блок 1, Фиг. 2). Данные значения зависят от степени адаптации и выбираются экспериментально в ходе функционирования системы защиты.

Далее принимают очередной пакет сообщений, определяют его легитимность и при несовпадении передают данный пакет на ложную вычислительную сеть и формируют для появления К_i принимаемого несанкционированного потока соответствующий информационный ресурс (блок 2–9, Фиг. 2). Таким образом, злоумышленнику предоставляется доступ к информационному ресурсу ложной вычислительной сети соответствующей его проявлениям.

Затем вычисляется текущее значение коэффициента совпадения Q^тек_совп, который сравнивается с Q^нач_{совп порог}, что позволяет определить эталонный набор соответствующий определенному j-му типу компьютерной атаки на начальном этапе ее реализации (блок 10–12, Фиг. 2).

Далее определяют возможное последующее проявление С_i+1 несанкционированного информационного потока из запомненного эталонного набора S_j и формируют для него ответный пакет сообщения, а затем передают его (блок 15–17, Фиг. 2).

При дальнейшем взаимодействии с несанкционированным информационным потоком, вычисляемое текущее значение коэффициента совпадения Q^тек_совп позволяет определять эталонный набор, соответствующий текущему проявлению компьютерной атаки, который может не совпадать с эталонным набором компьютерной атаки, определенном на предыдущем этапе взаимодействия, то есть осуществить адаптацию данного процесса.

После того как выполняется условие Q^тек_совп Q^кон_{совп порог} блокируют i-й несанкционированный ИП и формируют сигнал атаки на вычислительную сеть (блок 13–14, Фиг. 2). В этом случае система защиты с определенной достоверностью, задаваемой значением Q^кон_{совп порог}, определяет тип компьютерной атаки

Достижение технического результата поясняется следующим образом.

В способе-прототипе при определении вида атаки из имеющихся эталонных наборов имеется возможность ошибочного определения, в следствие чего злоумышленник может определить взаимодействие с ложными узлами, что существенно уменьшит защищенность вычислительной сети. В заявленном способе осуществляется выбор вида атаки из эталонных наборов на основе текущего и предыдущего состояний в ходе всего взаимодействия с злоумышленником, при этом для адаптации защиты ответные сообщения (пакеты) формируются именно по текущим проявлениям несанкционированных потоков, что позволяет повысить защищенность вычислительных сетей за счет изменения (адаптации) взаимодействия ложных узлов с злоумышленником. Отдельно можно выделить возможность изменения стратегии злоумышленником под воздействием (реакцией) на ответные сообщения, указывающие на другие (отличные от названных) целей атаки, что еще более существенно повысит защищенность вычислительных сетей.

Таким образом, заявленный способ за счет адаптации взаимодействия ложных адресов абонентов вычислительной сети с несанкционированными информационными потоками, путем определения следующих появлений несанкционированного информационного потока, на основе выявленных текущих проявлений позволяет повысить защищенность вычислительных сетей.

Способ защиты вычислительных сетей на основе адаптивного взаимодействия, заключающийся в том, что предварительно запоминают N≥1 опорных идентификаторов санкционированных информационных потоков, содержащих адреса отправителей и получателей пакетов сообщений, задают Р≥1 ложных адресов абонентов вычислительной сети, задают множество эталонных наборов появлений несанкционированных информационных потоков, отличающихся друг от друга идентификаторами S_эт={S_j}, где j – заданное количество эталонных наборов, соответствующих определенным типам компьютерных атак, S_j={С_r}, где С_r – определенная последовательность появлений несанкционированного информационного потока, отличающихся друг от друга идентификаторами, принимают очередной пакет сообщений и определяют его легитимность, для чего выделяют из его заголовка идентификаторы, которые сравнивают с опорными идентификаторами, и при их совпадении передают легитимный пакет сообщений получателю, после чего принимают очередной пакет сообщений и повторяют совокупность действий по определению его легитимности, а при отсутствии совпадения запоминают идентификаторы принятого несанкционированного информационного потока, присваивают ему очередной i-й идентификационный номер, затем передают пакет сообщения несанкционированного информационного потока на заданные ложные адреса абонентов вычислительной сети и идентифицируют несанкционированный информационный поток, для чего сравнивают идентификаторы появления К_i принимаемого несанкционированного потока со значениями С_r в эталонных наборах S_j появлений несанкционированных информационных потоков, и при их совпадении блокируют передачу пакета сообщений и переходят к приему очередного пакета сообщений, а при несовпадении формируют ответный пакет сообщений, отличающийся тем, что, в исходные данные дополнительно, задают множество информационных ресурсов P_доп, имеющихся на каждом Р ложном адресе абонентов вычислительной сети, а также задают начальное пороговое значение коэффициента совпадения Q^нач _{совп порог} и конечное пороговое значение коэффициента совпадения Q^кон _{совп порог} последовательности появлений несанкционированного информационного потока с соответствующим эталонным набором j, после передачи пакет сообщения несанкционированного информационного потока на заданные ложные адреса абонентов вычислительной сети выделяют из них идентификаторы появления К_i несанкционированного информационного потока и определяют для него требуемый информационный ресурс P_доп, после чего предоставляют его для взаимодействия с соответствующим появлением несанкционированного информационного потока К_i, затем вычисляют текущее значение коэффициента совпадения Q^тек _совп последовательности появлений несанкционированного информационного потока с эталонными наборами S_эт, после чего сравнивают значения полученного коэффициента совпадения Q ^тек _совп с начальным пороговым значением Q^нач _{совп порог} и при выполнении условия Q ^тек _совп Q^нач _{совп порог} запоминают эталонный набор S_j, соответствующий текущей последовательности появлений несанкционированного информационного потока, а при невыполнении условия принимают очередной пакет сообщений для дальнейшего определения его легитимности, затем сравнивают значения полученного коэффициента совпадения Q^тек _совп с конечным пороговым значением Q^кон _{совп порог} и при выполнении условия Q ^тек _совп Q^кон _{совп порог} блокируют i-й несанкционированный информационный поток и формируют сигнал атаки на вычислительную сеть, а при невыполнении условия определяют последующее появление С_i+1 несанкционированного информационного потока из запомненного эталонного набора S_j и формируют для него ответный пакет сообщения, а затем передают его.