Способ защиты вычислительных сетей

Изобретение относится к электросвязи и может быть использовано в системах обнаружения атак с целью оперативного выявления и противодействия несанкционированным воздействиям в вычислительных сетях, в частности, в сети передачи данных типа «Internet», основанных на семействе коммуникационных протоколов TCP/IP (Transmission Control Protocol / Internet Protocol).

Известен «Способ и устройство для анонимного обмена данными с использованием сети с динамически изменяемым адресным пространством» по патенту США № US20120117376A1, класс H04L 29/06 (2006.01), опубл. 04.05.2012. Известный способ включает следующую последовательность действий. На сетевых устройствах вычислительной сети устанавливают специальное программное обеспечение, принимают входящие пакеты сообщений, считывают значения служебных полей протокола, затем формируют свой собственный специальный протокол. Принцип работы сформированного специального протокола основан на изменении сетевого адреса и полей протокола через заданные интервалы времени. После формирования специального протокола, параметры доставки пакетов сообщений, например, такие как IP-адрес, сопоставляют с конечными узлами в сети. Конечные узлы представляют собой сетевые устройства получатель/отправитель пакетов, расположенные в сети. Узлы, участвующие в процессе, имеют средства для синхронизации изменений изменяемых параметров, доставки их по сети и способны полностью обмениваться данными друг с другом. Периодическое изменение параметров доставки с течением времени в итоге приводит к запутыванию информации об активных сетевых узлах или сетевых службах вычислительной сети. Таким образом, нарушитель, сканирующий вычислительную сеть, сталкивается с множеством динамических параметров, которые понятны только участвующим в информационном обмене сетевым узлам. Конфигурирование специального программного обеспечения может быть реализовано одним из трех типов управления: по времени (синхронная), по факту сканирования, постоянная на всех без исключения пакетах/кадрах.

Недостатком данного способа является относительно низкая результативность защиты вычислительных сетей. Низкая результативность защиты обусловлена тем, что в аналоге скорость информационного обмена между отправителем и получателем пакетов сообщений снижается ввиду установленного дополнительного специального программного обеспечения, расходующего ресурсы сети на преобразование исходящих пакетов в свой собственный протокол, что в свою очередь снижает доступность информационных ресурсов сети клиентам и может привести к перегрузке вычислительной сети.

Известен способ защиты вычислительных сетей, описанный в статье Antonatos S., Akritidis P., Markatos E., Anagnostakis K. Defending against Hitlist Worms using Network Address Space Randomization 2005 ACM Workshop on Rapid Malcode, Fairfax, VA, USA, на стр. 30-40. Известный способ включает следующую последовательность действий. Подключают сетевые устройства к вычислительной сети. DHCP-сервером задают для сетевых устройств вычислительной сети, от которых поступили запросы, параметры синхронизации установленного часового пояса, времени продолжительности аренды t_ap и IP-адреса. После этого устанавливают сетевые соединения между сетевыми устройствами сети. По окончании времени продолжительности аренды IP-адресов t_ap формируют на DHCP-сервере в случайном порядке новые IP-адреса в текущей подсети и другие сетевые параметры для каждого из сетевых устройств вычислительной сети. Для сетевых устройств, между которыми не установлено критическое соединение задают новые IP-адреса, на которые они переходят по истечении времени аренды t_ap, а для сетевых устройств, между которыми установлено критическое соединение продлевают аренду IP-адресов на такое же время t_ap, до конца активности соединения, после чего сетевые устройства переходят на новые IP-адреса в текущей подсети. Очередной переход на новые IP-адреса осуществляется по истечении времени t_ap.

Недостатком данного способа является его относительно узкая область применения, относительно низкая результативность и относительно высокая ресурсоемкость защиты. Узкая область применения обусловлена тем, что происходит разрыв критически важных активных соединений между сетевыми устройствами, а также тем, что изменение IP-адресов узлов защищаемой вычислительной сети происходит в рамках одной подсети, что накладывает ограничение на используемый диапазон перестройки параметров защищаемой вычислительной сети, состоящей из относительно большого количества IP-адресов узлов. Это может привести к возможности вычисления нарушителем алгоритма перестройки IP-адресов узлов защищаемой вычислительной сети и принятию им мер по обходу системы защиты. Относительно низкая результативность связана с изменением IP-адресов узлов защищаемой вычислительной сети через фиксированный промежуток времени t_ap вне зависимости от условий функционирования и действий нарушителя. Это может привести к несвоевременному переводу вычислительной сети в заранее определенную конфигурацию, влекущему за собой пропуск несанкционированного воздействия или ложное срабатывание системы защиты. Относительно высокая ресурсоемкость способа-прототипа связана с возможностью его ложного срабатывания, что может привести к необоснованному увеличению вычислительного ресурса на изменение конфигурации параметров вычислительной сети.

Наиболее близким по своей технической сущности к заявленному, способом-прототипом является «Способ защиты вычислительных сетей» по патенту РФ №2716220 МПК G06F 21/60, H04L 29/06 опубл. 06.03.2020 г. Известный способ включает следующую последовательность действий. Подключают сетевые устройства к вычислительной сети. Формируют DHCP-сервером для сетевых устройств вычислительной сети параметры синхронизации установленного часового пояса и времени, назначенные IP-адреса и время их аренды, номер подсети. После этого направляют с DHCP-сервера сформированные ответные сообщения сетевым устройствам вычислительной сети. Далее принимают каждым сетевым устройством вычислительной сети сообщения от DHCP-сервера и задают сетевым устройствам вычислительной сети параметры синхронизации установленного часового пояса и времени, назначенные IP-адреса и время их аренды, номер подсети. Затем устанавливают сетевые соединения между сетевыми устройствами вычислительной сети. После приема из канала связи пакета сообщения, выделяют из заголовка принятого пакета сообщения идентификатор информационного потока. Далее сравнивают его с идентификаторами санкционированных информационных потоков и при совпадении выделенного идентификатора информационного потока с идентификаторами санкционированных информационных потоков передают пакет сообщений получателю и принимают из канала связи следующий пакет сообщения. При несовпадении выделенного идентификатора с идентификаторами санкционированных информационных потоков, сравнивают IP-адрес получателя в принятом пакете сообщений с предварительно заданными ложными IP-адресами абонентов вычислительной сети. В случае несовпадения IP-адреса получателя в принятом пакете сообщений с предварительно заданными ложными IP-адресами абонентов, игнорируют пакет сообщений, а при совпадении IP-адреса получателя в принятом пакете сообщений с предварительно заданными ложными IP-адресами абонентов, сравнивают IP-адрес отправителя пакетов сообщений с каждым IP-адресом сетевого устройства вычислительной сети. В случае их совпадения блокируют IP-адрес отправителя пакетов сообщений. В ином случае формируют ответные сообщения от DHCP-сервера, содержащие новый номер подсети, IP-адреса сетевых устройств для новой подсети, их время продолжительности аренды для новой подсети, следующий номер подсети, IP-адрес DHCP-сервера, параметры синхронизации установленного часового пояса и времени. Далее, после направления с DHCP-сервера сетевым устройствам вычислительной сети ответных сообщений, содержащих вышеперечисленные сетевые параметры принимают эти сообщения каждым сетевым устройством вычислительной сети. После этого задают каждому сетевому устройству вычислительной сети полученные параметры для функционирования в новой подсети.

Недостатком способа-прототипа является его относительно низкая результативность защиты, обусловленная высокими возможностями нарушителя по обнаружению факта использования средств защиты вычислительной сети и идентификации их характеристик. Это обусловлено тем, что после синхронного изменения сетевых параметров устройств исходной подсети на сетевые параметры в новой подсети, в исходной подсети, где ранее был организован сетевой информационный обмен, таковой будет отсутствовать и не останется активных IP-адресов сетевых устройств. Данное обстоятельство может привести к компрометации используемых средств защиты и идентификации их характеристик в случае перехвата сетевого трафика или сетевого сканирования вычислительной сети нарушителем, а также к изменению нарушителем стратегии вредоносного воздействия.

Целью заявленного технического решения является разработка способа защиты вычислительных сетей, обеспечивающего повышение результативности защиты за счет снижения возможностей нарушителя по компрометации средств защиты и его введения в заблуждение. Это достигается формированием ложного сетевого трафика в исходной подсети после изменения текущих параметров сетевых устройств на новые параметры в новой подсети.

Поставленная цель достигается тем, что в известном способе защиты вычислительных сетей предварительно задают IP=[IP₁, IP₂ … IP_n} множество IP-адресов сетевых устройств вычислительной сети, являющихся DHCP-клиентами DHCP-сервера, где n - максимальное допустимое значение количества IP-адресов сетевых устройств вычислительной сети. Затем предварительно задают подмножества d во множестве IP-адресов сетевых устройств вычислительной сети , где d - номер подсети DHCP-сервера, d=1, 2 … z, где z - максимальное количество подсетей. Далее для каждого подмножества d задают IP-адреса DHCP-серверов , где - IP-адрес DHCP-сервера, . После этого предварительно задают массив памяти D=[1, 2, …, z] для хранения номеров подсетей DHCP-сервера и t^d_max - максимальное значение времени аренды всех IP-адресов подсети с номером d. Далее задают С={CIP₁, CIP₂ … CIP_m} множество соединений между сетевыми устройствами вычислительной сети, где CIP_m - идентификатор соединения между сетевыми устройствами вычислительной сети, который содержит в себе IP-адрес отправителя с, и получателя b, тип протокола взаимодействия, порты взаимодействия, где m - максимальное допустимое количество соединений между сетевыми устройствами вычислительной сети. После этого предварительно задают массив памяти C_i=[CIP₁, CIP₂ … CIP_m] для хранения идентификаторов CIP_m и множество идентификаторов санкционированных информационных потоков TS≥1. Затем предварительно задают MAC={MAC₁, МАС₂ … MAC_l} множество МАС-адресов сетевых устройств вычислительной сети, где l - максимальное количество сетевых устройств в вычислительной сети. Далее задают массив памяти N_A для хранения матрицы соответствия n-му IP-адресу сетевого устройства из множества IP-адресов l-го МАС-адреса из массива памяти MAC. Затем задают - множество IP-адресов ложных абонентов подсети d, где ƒ - максимальное допустимое количество IP-адресов сетевых устройств подсети d. После этого подключают сетевые устройства к вычислительной сети. Далее направляют с сетевых устройств вычислительной сети сообщения DHCP-серверу для получения параметров синхронизации установленного часового пояса и времени, номера подсети d, IP-адресов IP^d и времени их аренды, IP-адреса DHCP-сервера . Затем принимают DHCP-сервером сообщения от сетевых устройств вычислительной сети. После этого формируют для сетевых устройств сообщения, содержащие параметры синхронизации установленного часового пояса и времени, назначенные номер подсети d, IP-адреса IP^d и время их аренды, IP-адрес DHCP-сервера . Затем направляют сформированные сообщения сетевым устройствам вычислительной сети. Далее принимают каждым сетевым устройством вычислительной сети сообщение от DHCP-сервера. После этого направляют от сетевых устройств вычислительной сети ответные сообщения DHCP-серверу, подтверждающие его выбор. Затем принимают DHCP-сервером сообщения от сетевых устройств вычислительной сети, подтверждающие его выбор. После этого задают сетевым устройством вычислительной сети параметры синхронизации установленного часового пояса и времени, назначенные номер подсети d, IP-адреса IP^d и время их аренды, для DHCP-сервера IP-адрес . Далее устанавливают соответствие MAC- и IP-адресов. Затем запоминают соответствие MAC- и IP-адресов в массиве памяти N_A. После этого удаляют из массива памяти N_A, те соответствия сетевых устройств вычислительной сети, от которых не получили сообщения, подтверждающие их выбор. Далее устанавливают соединения между сетевыми устройствами вычислительной сети и назначают установленным соединениям между сетевыми устройствами вычислительной сети идентификаторы CIP_m. Затем запоминают идентификаторы CIP_m в массиве памяти C_i и принимают из канала связи пакет сообщения. После этого выделяют из заголовка принятого пакета сообщения идентификатор информационного потока, а затем сравнивают его с идентификаторами санкционированных информационных потоков TS. В случае совпадения выделенного идентификатора информационного потока с идентификаторами санкционированных информационных потоков TS передают пакет сообщений получателю. После этого принимают из канала связи следующий пакет сообщения. В случае несовпадения выделенного идентификатора с идентификаторами санкционированных информационных потоков TS сравнивают IP-адрес получателя в принятом пакете сообщений с предварительно заданными ложными IP-адресами абонентов вычислительной сети FIP. В ином случае, при несовпадении IP-адреса получателя в принятом пакете сообщений с предварительно заданными ложными IP-адресами абонентов FIP, игнорируют пакет сообщений. При совпадении IP-адреса получателя в принятом пакете сообщений с предварительно заданными ложными IP-адресами абонентов FIP, сравнивают IP-адрес отправителя пакетов сообщений с каждым IP-адресом сетевого устройства вычислительной сети из множества IP^d. В случае их совпадения исключают МАС-адрес сетевого устройства из массива N_A DHCP-сервера, а в случае их несовпадения считывают DHCP-сервером из массива D следующий d=d+1 номер подсети. После этого формируют для сетевых устройств сообщения, содержащие новые параметры синхронизации установленного часового пояса и времени, номер подсети d=d+1, IP-адреса IP^(d+1) и время их аренды , DHCP-серверу IP-адрес . Затем направляют с DHCP-сервера сетевым устройствам вычислительной сети сформированные сообщения, содержащие новые параметры синхронизации установленного часового пояса и времени, номер подсети d=d+1, IP-адреса IP^(d+1) и время их аренды . Далее принимают каждым сетевым устройством вычислительной сети сообщения, содержащие новые параметры синхронизации установленного часового пояса и времени, номер подсети d=d+1, IP-адреса IP^(d+1) и время их аренды . После этого задают сетевым устройствам вычислительной сети параметры синхронизации установленного часового пояса и времени, номер подсети d=d+1, IP-адреса IP^(d+1) и время их аренды , задают IP-адрес для DHCP-сервера. Затем вновь формируют массив памяти N_A для хранения матрицы соответствия MAC- и IP-адресов сетевых устройств вычислительной сети. В предварительно заданные исходные данные дополнительно задают значение времени t_z считывания параметров сетевого трафика из подсети d. Затем дополнительно задают массив памяти M_z для хранения параметров считанного сетевого трафика из подсети d. После этого дополнительно задают массив памяти M_H для хранения вычисленного значения коэффициента самоподобия сетевого трафика из подсети d. Далее дополнительно задают множество {H_t} требуемых значений коэффициента самоподобия сетевого трафика из подсети d, время t_d направления ложного сетевого трафика в подсеть. После формирования и назначения параметров сетевым устройствам подсети, установления соответствия MAC- и IP-адресов и запоминания этого соответствия в массиве памяти N_A, а также установления между сетевыми устройствами сетевых соединений и идентификаторов CIP_m этих соединений, считывают в течение времени t_z параметры сетевого трафика между сетевыми устройствами из подсети d. Затем запоминают в массиве памяти M_z считанные параметры сетевого трафика между сетевыми устройствами из подсети d. Далее вычисляют значение Н_с показателя самоподобия сетевого трафика между сетевыми устройствами из подсети d. После этого запоминают в массиве памяти M_H вычисленное значение Н_с показателя самоподобия сетевого трафика между сетевыми устройствами из подсети d. Затем, после приема из канала связи пакета сообщения и выделения идентификатора информационного потока, последующего его сравнения с идентификаторами санкционированных информационных потоков и в случае несовпадения IP-адреса отправителя пакетов сообщений с множеством IP-адресов IP^d подсети d, после формирования для сетевых устройств подсети d сообщений, содержащих новые сетевые параметры и направления этих сообщений сетевым устройствам, задают в подсети d сетевое устройство для формирования и направления информационных потоков ложного сетевого трафика в этой подсети. Далее задают сетевым устройствам подсети d, кроме сетевого устройства для формирования и направления информационных потоков ложного сетевого трафика, параметры синхронизации установленного часового пояса и времени, номер подсети d=d+1, IP-адреса IP^(d+1) и время их аренды , IP-адрес выбранного DHCP-сервера . После этого вновь формируют массив памяти N_A для новой подсети d=d+1. Затем сравнивают вычисленное значение Н_с показателя самоподобия сетевого трафика между сетевыми устройствами из подсети d со значением требуемого коэффициента самоподобия сетевого трафика из множества {H_t}. В случае их несоответствия формируют для подсети d информационные потоки ложного сетевого трафика со случайными параметрами. После этого направляют с заданного сетевого устройства в подсеть d информационные потоки сформированного ложного сетевого трафика со случайными параметрами до истечения времени t_d. В ином случае, при соответствии вычисленного значения Н_с показателя самоподобия сетевого трафика между сетевыми устройствами из подсети d значению требуемого коэффициента самоподобия сетевого трафика из множества {H_t}, считывают из массива памяти M_z параметры сетевого трафика подсети d. Далее формируют математическую модель для каждого из параметров сетевого трафика подсети d. После этого формируют информационные потоки ложного сетевого трафика между сетевыми устройствами подсети d с параметрами, полученными на основании сформированных математических моделей для каждого из них. Затем направляют с заданного сетевого устройства информационные потоки сформированного ложного самоподобного сетевого трафика в подсеть d до истечения времени t_d. По истечении времени направления ложного сетевого трафика td завершают направление ложного сетевого трафика в подсеть d. Далее задают сетевому устройству, с которого осуществлялось формирование и направление ложного сетевого трафика в подсеть d, новые параметры синхронизации установленного часового пояса и времени, номер подсети d=d+1, IP-адрес IP^(d+1) и время его аренды , IP-адрес выбранного DHCP-сервера . Затем вновь формируют массив памяти N_A для хранения матрицы соответствия MAC- и IP-адресов сетевых устройств в подсети d=d+1 с учетом появившегося из подсети d сетевого устройства, с которого осуществлялось формирование и направление ложного сетевого трафика.

Значение времени t_d направления ложного сетевого трафика в подсеть d задают равным 86400 секунд.

В качестве параметров для формирования самоподобного ложного сетевого трафика выбирают длительность соединения, IP-адрес источника, порт источника, IP-адрес назначения, порт назначения, количество пакетов в сессии, количество байт, переданных за сессию.

Значение времени t_z считывания параметров сетевого трафика в подсети d задают равным 86400 секунд.

В качестве алгоритма для расчета показателя самоподобия Н_с сетевого трафика выбирают алгоритм анализа скорректированного измененного диапазона.

В качестве аттрактора математической модели самоподобного ложного сетевого трафика выбирают нелинейный осциллятор Ван дер Поля.

Требуемые значения коэффициента самоподобия сетевого трафика Ht выбирают в пределах 0,5<H_t<1.

Благодаря новой совокупности существенных признаков в заявленном способе обеспечивается повышение результативности защиты за счет снижения возможностей нарушителя по компрометации средств защиты и его введения в заблуждение. Это достигается формированием ложного сетевого трафика в исходной подсети после изменения текущих параметров сетевых устройств на новые параметры в новой подсети.

Заявленные объекты изобретения поясняются чертежами, на которых показаны:

фиг. 1 - Схема защищаемой вычислительной сети с использованием устройства для формирования и направления в сеть ложного сетевого трафика;

фиг. 2а - Блок-схема последовательности действий, реализующих заявленный способ защиты вычислительных сетей;

фиг. 2б - Блок-схема последовательности действий, реализующих заявленный способ защиты вычислительных сетей.

Реализация заявленного способа объясняется следующим образом. В настоящее время в состав мер защиты информации в государственных информационных системах включены: сокрытие архитектуры и конфигурации информационных систем; создание (эмуляция) ложных информационных систем или их компонентов; перевод информационной (автоматизированной) системы в безопасное состояние при возникновении отказов (сбоев), что приведено, например, в Приказе ФСТЭК России от 25 декабря 2017 г. «Об утверждении Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации (в ред. приказов ФСТЭК России от 9 августа 2018 г. №138, от 26 марта 2019 г. №60, от 20 февраля 2020 г. №35)» на стр. 35.

Это обусловлено тем, что наряду с угрозами безопасности информации, связанными с осуществлением несанкционированного воздействия на информационные системы, компонентами которых являются вычислительные сети, достаточно большое количество компьютерных атак носит разведывательный характер с целью получения информации о составе, структуре и алгоритмах функционирования, местоположении и принадлежности информационных систем. В частности, на реконструкцию структурно-функциональных характеристик информационных систем нацелена угроза определения топологии информационных систем, реализуемая нарушителем средствами сетевой разведки посредством сетевого сканирования и анализа сетевого трафика. Результатом сетевой разведки является вскрытие топологии информационных систем, распределенной в киберпространстве и определение важности ее узлов, что может быть использовано нарушителем для реализации спланированных АРТ-атак (от англ. advanced persistent threat - «развитая устойчивая угроза», целевая компьютерная атака), которые известны и описаны, например, в статье Левцов В., Демидов, Н. Анатомия таргетированной атаки, часть 1, Информационная безопасность, 2016, №2, на стр. 36-39.

Задача реализации перечисленных выше мер защиты информационных систем от сетевой разведки решается посредством формирования ложного сетевого трафика, под которым понимают совокупность ложных (маскирующих) пакетов сообщений, формируемых с целью создания у нарушителя устойчивых ложных стереотипов о составе, структуре и алгоритмах функционирования информационных систем, что известно и описано, например, в статье Соколовский С.П., Теленьга А.П. Методика формирования ложного сетевого трафика информационных систем для защиты от сетевой разведки, Вестник компьютерных и информационных технологий, 2022, т. 19, №2, на стр. 40-47. Однако, решение данной задачи осложняется следующим обстоятельством. После реконфигурации структурно-функциональных характеристик информационной системы, в подсети, где изначально был организован информационный обмен, не останется активных узлов и, соответственно, будет отсутствовать сетевой трафик. Данное обстоятельство приведет к компрометации применяемых средств защиты и изменению стратегии вредоносного воздействия на информационную систему нарушителем. Для устранения такого демаскирующего признака системы защиты необходимо не просто реконфигурировать структурно-функциональных характеристик информационных систем в рамках нескольких подсетей, но и поддерживать между узлами ложный сетевой трафик, имеющий статистические характеристики скомпрометированной информационной системы, для того, чтобы киберманевр не был обнаружен нарушителем, что известно и описано, например, в статье Applegate S.D. The principle of maneuver in cyber operations, 4th International Conference on Cyber Conflict (CYCON 2012) на стр. 1-13. При этом возможны следующие варианты решения задачи формирования ложного сетевого трафика информационной системы.

Первым вариантом является предварительная запись сетевого трафика информационной системы и последующая отправка сохраненных пакетов в сеть. При этом временной интервал между пакетами берется из предварительно записанного дампа сетевого трафика информационной системы. Недостаток данного подхода, связанный с необходимостью хранения больших объемов данных, очевиден. Кроме того, при относительно небольшом количестве абонентов в информационной системе возможно обнаружение факта повторного использования (клонирования) сетевого трафика.

Вторым, и более предпочтительным, вариантом представляется генерация ложного сетевого трафика на основе характеристик реального сетевого трафика, которая выполняется специально назначенным узлом вычислительной сети. Для обеспечения максимального правдоподобия ложного сетевого трафика его статистические свойства должны соответствовать статистическим свойствам информационного трафика объекта защиты. В противном случае применение таких мер защиты может быть скомпрометировано, а цели имитации не будут достигнуты.

Заявленный способ реализуют следующим образом. В общем случае (см. фиг. 1) подсеть представляет собой совокупность корреспондентов 100, DHCP-сервера 101, являющихся источниками и получателями сетевого трафика, анализатора пакетов (102) для составления отчетов, периферийного и коммуникационного оборудования 103, устройства для формирования и направления в подсеть ложного сетевого трафика 104.

Для защиты вычислительной сети и введения в заблуждение нарушителя 105 относительно структуры вычислительной сети, осуществляют периодическую смену IP-адресов и других сетевых параметров ее сетевых устройств в рамках нескольких подсетей, а для введения в заблуждение нарушителя относительно применения средств защиты осуществляют формирование и направление в исходную подсеть ложного сетевого трафика.

На фиг. 2а, 2б представлена блок-схема последовательности действий, реализующих заявленный способ защиты вычислительных сетей, в которой приняты следующие обозначения:

{IP^d} - множество всех IP-адресов сетевых устройств вычислительной сети, являющихся клиентами DHCP-сервера с IP-адресом , где d - номер подсети DHCP-сервера d=1, 2 … z, a z - максимальное количество подсетей;

- IP-адрес доверенного DHCP-сервера, где ;

[D] - массив памяти для хранения номера подсети DHCP-сервера;

t^d_max - максимальное значение времени аренды всех IP-адресов подсети d;

{С} - множество соединений между сетевыми устройствами вычислительной сети;

CIP_m - идентификатор соединения между сетевыми устройствами вычислительной сети;

m - максимально допустимое количество соединений между сетевыми устройствами вычислительной сети;

[C_i] - массив памяти для хранения идентификаторов CIP_m;

{TS} - множество идентификаторов санкционированных информационных потоков;

{MAC} - множество МАС-адресов сетевых устройств вычислительной сети;

l - максимальное количество сетевых устройств в вычислительной сети;

[N_A] - массив памяти для хранения матрицы соответствия n-му IP-адресу сетевого устройства из множества IP-адресов l-го MAC-адреса из массива памяти MAC;

{FIP^d} - множество IP-адресов ложных абонентов подсети d, FIP^d={FIP^d₁, FIP^d₂ … FIP^d_n}, где n - максимальное допустимое количество IP-адресов сетевых устройств вычислительной сети.

Для повышения результативности защиты, за счет снижения возможностей нарушителя по компрометации средств защиты и введения нарушителя в заблуждение, в предварительно заданные исходные данные дополнительно задают (см. блок 1 на фиг. 2а) значение времени t_z считывания параметров сетевого трафика из подсети d, позволяющее получить репрезентативную выборку сетевого трафика.

Затем в предварительно заданные исходные данные дополнительно задают (см. блок 1 на фиг. 2а) массив памяти M_z для хранения параметров считанного сетевого трафика из подсети d, необходимых для расчета коэффициента самоподобия сетевого трафика из подсети d.

После этого для формирования параметров генерации ложного сетевого трафика в предварительно заданные исходные данные дополнительно задают (см. блок 1 на фиг. 2а) массив памяти M_H для хранения вычисленного значения коэффициента самоподобия сетевого трафика из подсети d.

Далее, для расчета параметров математических моделей ложного сетевого трафика в предварительно заданные исходные данные дополнительно задают (см. блок 1 на фиг. 2а) множество {H_t} требуемых значений коэффициента самоподобия сетевого трафика из подсети d.

После этого для совершения бескомпроматного киберманевра в предварительно заданные исходные данные дополнительно задают (см. блок 1 на фиг. 2а) время t_d направления ложного сетевого трафика в подсеть d.

Затем подключают (см. блок 2 на фиг. 2а) сетевые устройства к вычислительной сети и после их инициализации направляют (см. блок 3 на фиг. 2а) с сетевых устройств вычислительной сети сообщения на DHCP-сервер с IP-адресом для получения параметров синхронизации установленного часового пояса, IP-адресов и времени продолжительности их аренды t_ap, номера подсети d и IP-адреса DHCP-сервера . Схема протокольного обмена сообщениями между сетевыми устройствами и DHCP-сервером известна и описана, например, в технических спецификациях (RFC, Request for Comments) сети Интернет (см., например, https://tools.ietf.org/html/rfc2131).

После этого принимают (см. блок 4 на фиг. 2а) DHCP-сервером с IP-адресом сообщения от сетевых устройств вычислительной сети.

Затем формируют (см. блок 5 на фиг. 2а) для сетевых устройств сообщения, содержащие параметры синхронизации установленного часового пояса и времени, назначенные номер подсети d, IP-адреса IP^d и время их аренды, IP-адрес DHCP-сервера . Необходимость синхронизации установленного часового пояса и времени возникает в случае, когда время сервера и сетевых устройств вычислительной сети различается, при этом сервер может счесть аренду завершившейся раньше, чем это сделает сетевое устройство. Синхронизация осуществляется путем установки общего часового пояса и времени DHCP-сервера и сетевых устройств вычислительной сети.

Далее направляют (см. блок 6 на фиг. 2а) DHCP-сервером ответные сообщения, содержащие параметры синхронизации установленного часового пояса и времени, назначенные номер подсети d, IP-адреса IP^d и время их аренды, IP-адрес DHCP-сервера , для обратившихся с запросом сетевых устройств вычислительной сети.

Принимают (см. блок 7 на фиг. 2а) каждым сетевым устройством вычислительной сети сообщения с DHCP-сервера и направляют (см. блок 8 на фиг. 2а) ответные сообщения DHCP-серверу, подтверждающие их выбор этого DHCP-сервера.

После этого принимают (см. блок 9 на фиг. 2а) DHCP-сервером сообщения от сетевых устройств вычислительной сети, подтверждающие их выбор и задают (см. блок 10 на фиг. 2а) сетевым устройствам вычислительной сети параметры синхронизации установленного часового пояса и времени, назначенные номер подсети d, IP-адреса IP^d и время их аренды, IP-адрес DHCP-сервера выбранного DHCP-сервера.

Затем устанавливают (см. блок 11 на фиг. 2а) соответствие MAC- и IP-адресов и запоминают (см. блок 12 на фиг. 2а) это соответствие MAC- и IP-адресов в массиве памяти N_A.

Далее удаляют (см. блок 13 на фиг. 2а) из массива памяти N_A, те соответствия сетевых устройств вычислительной сети, от которых не получили сообщения, подтверждающие их выбор, тем самым исключают выдачу IP-адресов неактивным сетевым устройствам.

После этого устанавливают соединения между сетевыми устройствами вычислительной сети (см. блок 14 на фиг. 2а) и назначают (см. блок 15 на фиг. 2а) установленным соединениям между сетевыми устройствами вычислительной сети идентификаторы CIP_m.

Далее установленные идентификаторы CIP_m запоминают (см. блок 16 на фиг. 2а) в массиве памяти C_i.

Затем считывают (см. блок 17 на фиг. 2а) в течение времени t_z параметры сетевого трафика между сетевыми устройствами из подсети d. Существует несколько подходов к описанию сетевого трафика вычислительной сети: в виде потоков и в виде последовательности пакетов («сырой» трафик).

Потоки содержат заголовочную информацию о сетевых соединениях между двумя конечными устройствами, такими как серверы или рабочие станции. Каждый поток представляет собой совокупность переданных сетевых пакетов, которые имеют некоторые общие свойства. Как правило, все передаваемые сетевые пакеты с одинаковыми IP-адресом источника, портом источника, IP-адресом назначения, порт назначения и транспортным протоколом в пределах временного окна объединяются в один поток, как описано, например, в статье Choudhary S., Usage of Netflow in Security and Monitoring of Computer Networks, Interntional Journal of Computer Applications, 2013, vol. 68, no. 24, на стр. 17-24.

«Сырой» трафик представляет собой последовательность пакетов, каждый из которых содержит время отправки пакета, IP-адрес источника, порт источника, IP-адрес назначения, порт назначения, протокол, размер пакета, установленные флаги и поле данных, в которое записывается полезная нагрузка, как описано, например, в статье Alothman В. Raw Network Traffic Data Preprocessing and Preparation for Automatic Analysis, 2019 International Conference on Cyber Security and Protection of Digital Services (Cyber Security), 2019, на стр. 1-5. Таким образом, параметрами, определяющими сетевое взаимодействие двух узлов сети передачи данных вычислительной сети, являются IP-адрес источника, порт источника, IP-адрес назначения, порт назначения, протокол, размер пакета, длительность соединения.

После этого запоминают (см. блок 18 на фиг. 2а) в массиве памяти M_z считанные параметры сетевого трафика между сетевыми устройствами из подсети d.

Далее вычисляют (см. блок 19 на фиг. 2а) значение Н_с показателя самоподобия сетевого трафика между сетевыми устройствами из подсети d. Общепринятым показателем самоподобия процесса является показатель Херста Н, что известно и описано, например, в книге Hurst Н.Е., Black P., Simaika RY. M. Long-Term Storage: An Experimental Study, London: Constable, 1965. 145 p. В зависимости от вычисленных значений которого делают следующие выводы об исследуемых процессах: при 0≤Н≤0,5 - случайный процесс, не обладает самоподобием; при 0,5<Н<1 - процесс обладает длительной памятью и является самоподобным.

Для расчетов показателя Хёрста используют, например, алгоритм анализа скорректированного измененного диапазона, который известен и описан, например, в статье Anis А.А., Lloyd Е. Н. The expected value of the adjusted rescaled Hurst range of independent normal summands, Biometrica, 1976, no 63, на стр. 283-298.

Затем запоминают (см. блок 20 на фиг. 2а) в массиве памяти M_H вычисленное значение Нс показателя самоподобия сетевого трафика между сетевыми устройствами из подсети d.

Принимают (см. блок 21 на фиг. 2а) из канала связи пакет сообщения и выделяют (см. блок 22 на фиг. 2а) из заголовка принятого пакета сообщения идентификатор информационного потока CIP_m.

После этого сравнивают (см. блок 23 на фиг. 2а) его с идентификаторами санкционированных информационных потоков TS для определения возможности дальнейшей передачи пакета адресату.

При совпадении выделенного идентификатора информационного потока CIP_m с идентификатором санкционированных информационных потоков TS передают (см. блок 24 на фиг. 2а) пакет сообщений получателю, а затем принимают (см. блок 21 на фиг. 2а) из канала связи следующий пакет сообщения.

В случае несовпадения выделенного идентификатора CIP_m с идентификаторами санкционированных информационных потоков TS, сравнивают (см. блок 25 на фиг. 2б) IP-адрес получателя в принятом пакете сообщений с предварительно заданными ложными IP-адресами абонентов вычислительной сети FIP.

При несовпадении IP-адреса получателя в принятом пакете сообщений с предварительно заданными ложными IP-адресами абонентов FIP, игнорируют (см. блок 26 на фиг. 2б) пакет сообщений.

В ином случае, при совпадении IP-адреса получателя в принятом пакете сообщений с предварительно заданными ложными IP-адресами абонентов FIP определяют, является ли отправитель пакета сообщений санкционированным абонентом или нарушителем, для этого сравнивают (см. блок 27 на фиг. 2б) IP-адрес отправителя пакетов сообщений с каждым IP-адресом сетевого устройства вычислительной сети из множества IP^d.

В случае их совпадения блокируют IP-адрес отправителя пакетов сообщений, считая его потенциальным нарушителем, для чего исключают (см. блок 28 на фиг. 2б) МАС-адрес данного сетевого устройства из массива памяти N_A DHCP-сервера, тем самым изолируют нарушителя от дальнейшего информационного обмена в вычислительной сети при последующей реконфигурации сетевых параметров устройств и коммуникационного оборудования вычислительной сети.

В случае же их несовпадения, то есть когда отправитель пакетов сообщений имеет нелегитимный IP-адрес, осуществляют реконфигурацию структурно-функциональных характеристик сетевых устройств вычислительных сети. Для этого считывают (см. блок 29 на фиг. 2б) DHCP-сервером из массива D очередной d=d+1 номер подсети для формирования параметров сетевых устройств в новой подсети, путем увеличения текущего номера сети d на единицу.

Затем формируют (см. блок 30 на фиг. 2б) ответные сообщения DHCP-сервера, содержащие параметры установленного часового пояса и времени, а также новые IP-адреса , значения , следующий номер подсети d=d+1 и IP-адрес выбранного DHCP-сервера для каждого из сетевых устройств вычислительной сети. Формирование нового значения времени аренды IP-адресов сетевых устройств вычислительной сети осуществляют для исключения возможности нарушителя вычислить алгоритм перестройки IP-адресов.

Далее направляют (см. блок 31 на фиг. 2б) ответные сообщения DHCP-сервера, содержащие параметры установленного часового пояса и времени, а также новые IP-адреса значения , следующий номер подсети d=d+1 и IP-адрес выбранного DHCP-сервера сетевым устройствам вычислительной сети.

Затем принимают (см. блок 32 на фиг. 2б) каждым сетевым устройством вычислительной сети сообщения, содержащих параметры синхронизации установленного часового пояса и времени, новые IP-адреса и время продолжительности их аренды , номер подсети d=d+1 и IP-адрес выбранного DHCP-сервера .

Далее, для сокрытия факта использования средств защиты и введения нарушителя в заблуждение, задают (см. блок 33 на фиг. 2б) в подсети d сетевое устройство для формирования и направления информационных потоков ложного сетевого трафика в этой подсети.

После этого задают (см. блок 34 на фиг. 2б) сетевым устройствам подсети d, кроме сетевого устройства для формирования и направления информационных потоков ложного сетевого трафика, параметры синхронизации установленного часового пояса и времени, номер подсети d=d+1, IP-адреса и время их аренды , IP-адрес выбранного DHCP-сервера .

Затем задают (см. блок 35 на фиг. 2б) IP-адрес DHCP-серверу.

Далее, так как сетевые параметры устройств вычислительной сети изменились, вновь формируют (см. блок 36 на фиг. 2б) массив памяти N_A для новой подсети d=d+1.

Затем сравнивают (см. блок 37 на фиг. 2б) вычисленное значение Н_с показателя самоподобия сетевого трафика между сетевыми устройствами из подсети d со значениями требуемого коэффициента самоподобия сетевого трафика из множества {H_t}.

В случае их несоответствия, исходя из определения показателя самоподобия, формируют (см. блок 42 на фиг. 2б) для подсети d информационные потоки ложного сетевого трафика со случайными параметрами, как описано, например, в статье Будко П.А., Будко Н.П., Литвинов А.И., Николаев В.А. Метод имитации сетевого трафика, Наукоемкие технологии в космических исследованиях Земли, том 5, №2, 2013, на стр. 30-37.

Далее направляют (см. блок 43 на фиг. 2б) с сетевого устройства для формирования и направления информационных потоков ложного сетевого трафика в подсеть d информационные потоки сформированного ложного сетевого трафика со случайными параметрами до истечения времени t_d.

В ином случае, при соответствии вычисленного значения Н_с показателя самоподобия сетевого трафика между сетевыми устройствами из подсети d значению требуемого коэффициента самоподобия сетевого трафика из множества {H_t}, считывают (см. блок 38 на фиг. 2б) из массива памяти M_z параметры сетевого трафика подсети d.

Далее формируют (см. блок 39 на фиг. 2б) математическую модель для каждого из параметров сетевого трафика подсети d.

Для синтеза математической модели применяют метод, который известен и описан, например, в книге Давыдов А.Е. Защита и безопасность ведомственных интегрированных инфокоммуникационных систем, Москва: Воентелеком, 2015, 520 с. В соответствии с этим методом для каждого из выбранных параметров сетевого трафика подбирают коэффициенты а и b уравнения нелинейного осциллятора Ван дер Поля , описанного, например, в статье J. Не, J. Cai, Design of a New Chaotic System Based on Van Der Pol Oscillator and Its Encryption Application, Mathematics, 2019, 7, 743 таким образом, чтобы показатель Хёрста H_s синтезированного временного ряда совпадал с заданной точностью с Н_с.

После этого формируют (см. блок 40 на фиг. 2б) информационные потоки ложного сетевого трафика между сетевыми устройствами подсети d с параметрами, полученными на основании синтезированных математических моделей для каждого из них. Для этого вычисляют значения временного ряда, задаваемого соответствующей математической моделью для каждого из параметров сетевого трафика, меняя значение переменной t от 0 до t_d.

Далее направляют (см. блок 41 на фиг. 2б) с заданного сетевого устройства информационные потоки сформированного ложного самоподобного сетевого трафика в подсеть d до истечения времени t_d (см. блок 44 на фиг. 2б).

Затем по истечении времени t_d завершают (см. блок 45 на фиг. 2б) направление ложного сетевого трафика в исходную подсеть d. В течение этого времени все доступные меры защиты будут выполнены, киберманевр будет гарантировано совершен, а средства компьютерной разведки, осуществляющие низкоинтенсивное сканирование, не смогут его скомпрометировать.

После этого задают сетевому устройству, с которого осуществлялось формирование и направление ложного сетевого трафика в подсети d, новые параметры синхронизации установленного часового пояса и времени, номер подсети d=d+1, IP-адрес и время его аренды , IP-адрес выбранного DHCP-сервера .

Далее вновь формируют массив памяти N_A для хранения матрицы соответствия MAC- и IP-адресов сетевых устройств в подсети d=d+1 с учетом появившегося из подсети d сетевого устройства, с которого осуществлялось формирование и направление ложного сетевого трафика.

Значение времени t_d направления ложного сетевого трафика в подсеть d задают равным 86400 секунд. Это обусловлено необходимостью защиты от низкоинтенсивного сканирования сети средствами компьютерной разведки, а также реализации дополнительных комплексных мер защиты.

В качестве параметров для формирования самоподобного ложного сетевого трафика выбирают длительность соединения, IP-адрес источника, порт источника, IP-адрес назначения, порт назначения, количество пакетов в сессии, количество байт переданных за сессию. Совокупность этих параметров позволяет получить наиболее адекватные модели для генерации самоподобного трафика в вычислительной сети.

Значение времени t_z считывания параметров сетевого трафика в подсети d задают равным 86400 секунд. Это обусловлено необходимостью формирования достаточного временного ряда для точного определения коэффициента самоподобия трафика, более явно проявляющегося на продолжительных отрезках времени.

В качестве алгоритма для расчета показателя самоподобия Н_с сетевого трафика выбирают алгоритм анализа скорректированного измененного диапазона, который известен и описан, например, в книге Peters Е.Е. Fractal Market Analysis: Applying Chaos Theory to Investment and Economics, New York: Wiley, 1994, 336 p., что обусловлено его значительным быстродействием и точностью получаемых результатов по сравнению с традиционным R/S анализом.

В качестве аттрактора математической модели параметров сетевого трафика выбирают нелинейный генератор Ван дер Поля, имеющий вид . Это обусловлено меньшим количеством вычисляемых коэффициентов модели по сравнению с другими известными динамическими системами, обладающими свойством самоподобия (аттракторами Лоренца и Мэки-Гласса).

Требуемые значения коэффициента самоподобия сетевого трафика H_t выбирают в пределах 0,5<H_t<1 исходя из определения показателя Херста, описанного, например, в Hurst Н.Е., Black P., Simaika RY. M. Long-Term Storage: An Experimental Study, London: Constable, 1965. 145 p.

В качестве устройства для формирования и направления в подсеть ложного сетевого трафика выбирают компьютер с установленным программным обеспечением для формирования сетевого трафика, например, PacketSender (http://packetsender.com).

Таким образом, в заявленном способе обеспечивается повышение результативности защиты за счет снижения возможностей нарушителя по компрометации средств защиты и его введения в заблуждение. Это достигается формированием ложного сетевого трафика в исходной подсети после изменения текущих параметров сетевых устройств на новые параметры в новой подсети.

Способ защиты вычислительных сетей, заключающийся в том, что предварительно задают IP={IP₁, IP₂… IP_n} множество IP-адресов сетевых устройств вычислительной сети, являющихся DHCP-клиентами DHCP-сервера, где n - максимальное допустимое значение количества IP-адресов сетевых устройств вычислительной сети, также задают подмножества d во множестве IP-адресов сетевых устройств вычислительной сети , где d - номер подсети DHCP-сервера, d=1,2…z, где z - максимальное количество подсетей, для каждого подмножества d задают IP-адреса DHCP-серверов , где - IP-адрес DHCP-сервера, , затем предварительно задают массив памяти D=[1, 2, …, z] для хранения номеров подсетей DHCP-сервера и t^d_max - максимальное значение времени аренды всех IP-адресов подсети с номером d, далее задают С={CIP₁, CIP₂… CIP_m} множество соединений между сетевыми устройствами вычислительной сети, где CIP_m - идентификатор соединения между сетевыми устройствами вычислительной сети, который содержит в себе IP-адрес отправителя с, и получателя b, тип протокола взаимодействия, порты взаимодействия, где m - максимальное допустимое количество соединений между сетевыми устройствами вычислительной сети, а также предварительно задают массив памяти C_i=[CIP₁, CIP₂… CIP_m] для хранения идентификаторов CIP_m и множество идентификаторов санкционированных информационных потоков TS≥1, после этого предварительно задают MAC={MAC₁, МАС₂… MAC_l} множество МАС-адресов сетевых устройств вычислительной сети, где l - максимальное количество сетевых устройств в вычислительной сети, массив памяти N_A для хранения матрицы соответствия n-му IP-адресу сетевого устройства из множества IP-адресов l-го МАС-адреса из массива памяти MAC, далее задают - множество IP-адресов ложных абонентов подсети d, где ƒ - максимальное допустимое количество IP-адресов сетевых устройств подсети d, подключают сетевые устройства к вычислительной сети, направляют с сетевых устройств вычислительной сети сообщения DHCP-серверу для получения параметров синхронизации установленного часового пояса и времени, номера подсети d, IP-адресов IP^d и времени их аренды, IP-адреса DHCP-сервера IP^d_dhcp, принимают DHCP-сервером сообщения от сетевых устройств вычислительной сети, формируют для сетевых устройств сообщения, содержащие параметры синхронизации установленного часового пояса и времени, назначенные номер подсети d, IP-адреса IP^d и время их аренды, IP-адрес DHCP-сервера IP^d_dhcp, направляют сформированные сообщения сетевым устройствам вычислительной сети, принимают каждым сетевым устройством вычислительной сети сообщение от DHCP-сервера, направляют от сетевых устройств вычислительной сети ответные сообщения DHCP-серверу, подтверждающие его выбор, принимают DHCP-сервером сообщения от сетевых устройств вычислительной сети, подтверждающие его выбор, задают сетевым устройством вычислительной сети параметры синхронизации установленного часового пояса и времени, назначенные номер подсети d, IP-адреса IP^d и время их аренды, для DHCP-сервера IP-адрес IP^d_dhcp, далее устанавливают соответствие MAC- и IP-адресов, запоминают соответствие MAC- и IP-адресов в массиве памяти N_A, удаляют из массива памяти N_A, те соответствия сетевых устройств вычислительной сети, от которых не получили сообщения, подтверждающие их выбор, устанавливают соединения между сетевыми устройствами вычислительной сети и назначают установленным соединениям между сетевыми устройствами вычислительной сети идентификаторы CIP_m, затем запоминают идентификаторы CIP_m в массиве памяти С, и принимают из канала связи пакет сообщения, далее выделяют из заголовка принятого пакета сообщения идентификатор информационного потока, затем сравнивают его с идентификаторами санкционированных информационных потоков TS и при совпадении выделенного идентификатора информационного потока с идентификаторами санкционированных информационных потоков TS, передают пакет сообщений получателю, после этого принимают из канала связи следующий пакет сообщения, а в случае несовпадения выделенного идентификатора с идентификаторами санкционированных информационных потоков TS, сравнивают IP-адрес получателя в принятом пакете сообщений с предварительно заданными ложными IP-адресами абонентов вычислительной сети FIP и при несовпадении IP-адреса получателя в принятом пакете сообщений с предварительно заданными ложными IP-адресами абонентов FIP, игнорируют пакет сообщений, а при совпадении IP-адреса получателя в принятом пакете сообщений с предварительно заданными ложными IP-адресами абонентов РУР, сравнивают IP-адрес отправителя пакетов сообщений с каждым IP-адресом сетевого устройства вычислительной сети из множества IP^d, в случае их совпадения исключают МАС-адрес сетевого устройства из массива N_A DHCP-сервера, а в случае их несовпадения считывают DHCP-сервером из массива D следующий d=d+1 номер подсети, после этого формируют для сетевых устройств сообщения, содержащие новые параметры синхронизации установленного часового пояса и времени, номер подсети d=d+1, IP-адреса IP^(d+1) и время их аренды , DHCP-серверу IP-адрес IP^(d+1)_dhcp, затем направляют с DHCP-сервера сетевым устройствам вычислительной сети сформированные сообщения, содержащие новые параметры синхронизации установленного часового пояса и времени, номер подсети d=d+1, IP-адреса IP^(d+1) и время их аренды , далее принимают каждым сетевым устройством вычислительной сети сообщения, содержащие новые параметры синхронизации установленного часового пояса и времени, номер подсети d=d+1, IP-адреса IP^(d+1) и время их аренды , после этого задают сетевым устройствам вычислительной сети параметры синхронизации установленного часового пояса и времени, номер подсети d=d+1, IP-адреса IP^(d+1) и время их аренды , задают IP-адрес IP^(d+1)_dhcp для DHCP-сервера, затем вновь формируют массив памяти N_A для хранения матрицы соответствия MAC- и IP-адресов сетевых устройств вычислительной сети, отличающийся тем, что в предварительно заданные исходные данные дополнительно задают значение времени t_z считывания параметров сетевого трафика из подсети d, массив памяти M_z для хранения параметров считанного сетевого трафика из подсети d, массив памяти M_H для хранения вычисленного значения коэффициента самоподобия сетевого трафика из подсети d, множество {H_t} требуемых значений коэффициента самоподобия сетевого трафика из подсети d, время t_d направления ложного сетевого трафика в подсеть, далее после формирования и назначения параметров сетевым устройствам подсети, установления соответствия MAC- и IP-адресов и запоминания этого соответствия в массиве памяти N_A, а также установления между сетевыми устройствами сетевых соединений и идентификаторов CIP_m этих соединений, считывают в течение времени t_z параметры сетевого трафика между сетевыми устройствами из подсети d, запоминают в массиве памяти M_z считанные параметры сетевого трафика между сетевыми устройствами из подсети d, вычисляют значение Н_с показателя самоподобия сетевого трафика между сетевыми устройствами из подсети d, запоминают в массиве памяти M_H вычисленное значение Н_с показателя самоподобия сетевого трафика между сетевыми устройствами из подсети d, затем, после приема из канала связи пакета сообщения и выделения идентификатора информационного потока, последующего его сравнения с идентификаторами санкционированных информационных потоков и в случае несовпадения IP-адреса отправителя пакетов сообщений с множеством IP-адресов IP^d подсети d, после формирования для сетевых устройств подсети d сообщений, содержащих новые сетевые параметры и направления этих сообщений сетевым устройствам, задают в подсети d сетевое устройство для формирования и направления информационных потоков ложного сетевого трафика в этой подсети, задают сетевым устройствам подсети d, кроме сетевого устройства для формирования и направления информационных потоков ложного сетевого трафика, параметры синхронизации установленного часового пояса и времени, номер подсети d=d+1, IP-адреса IP^(d+1) и время их аренды , IP-адрес выбранного DHCP-сервера IP^(d+1)_dhcp, вновь формируют массив памяти N_A для новой подсети d=d+1, сравнивают вычисленное значение Н_с показателя самоподобия сетевого трафика между сетевыми устройствами из подсети d со значением требуемого коэффициента самоподобия сетевого трафика из множества {H_t}, в случае его несоответствия формируют для подсети d информационные потоки ложного сетевого трафика со случайными параметрами, направляют с заданного сетевого устройства в подсеть d информационные потоки сформированного ложного сетевого трафика со случайными параметрами до истечения времени t_d, в ином случае, при соответствии вычисленного значения Н_с показателя самоподобия сетевого трафика между сетевыми устройствами из подсети d значению требуемого коэффициента самоподобия сетевого трафика из множества {H_t}, считывают из массива памяти M_z параметры сетевого трафика подсети d, формируют математическую модель для каждого из параметров сетевого трафика подсети d, формируют информационные потоки ложного сетевого трафика между сетевыми устройствами подсети d с параметрами, полученными на основании сформированных математических моделей для каждого из них, направляют с заданного сетевого устройства информационные потоки сформированного ложного самоподобного сетевого трафика в подсеть d до истечения времени t_d, по истечении времени направления ложного сетевого трафика t_d завершают направление ложного сетевого трафика в подсеть d, задают сетевому устройству, с которого осуществлялось формирование и направление ложного сетевого трафика в подсеть d, новые параметры синхронизации установленного часового пояса и времени, номер подсети d=d+1, IP-адрес IP^(d+1) и время его аренды , IP-адрес выбранного DHCP-сервера IP^(d+1)_dhcp, вновь формируют массив памяти N_A для хранения матрицы соответствия MAC- и IP-адресов сетевых устройств в подсети d=d+1 с учетом появившегося из подсети d сетевого устройства, с которого осуществлялось формирование и направление ложного сетевого трафика.

2. Способ по п. 1, отличающийся тем, что значение времени t_d направления ложного сетевого трафика в подсеть d задают равным 86400 секунд.

3. Способ по п. 1, отличающийся тем, что в качестве параметров для формирования самоподобного ложного сетевого трафика выбирают длительность соединения, IP-адрес источника, порт источника, IP-адрес назначения, порт назначения, количество пакетов в сессии, количество байт, переданных за сессию.

4. Способ по п. 1, отличающийся тем, что значение времени t_z считывания параметров сетевого трафика в подсети d задают равным 86400 секунд.

5. Способ по п. 1, отличающийся тем, что в качестве алгоритма для расчета показателя самоподобия Н_с сетевого трафика выбирают алгоритм анализа скорректированного измененного диапазона.

6. Способ по п. 1, отличающийся тем, что в качестве аттрактора математической модели самоподобного ложного сетевого трафика выбирают нелинейный осциллятор Ван дер Поля.

7. Способ по п. 1, отличающийся тем, что требуемые значения коэффициента самоподобия сетевого трафика H_t выбирают в пределах 0,5<H_t<1.