Результат интеллектуальной деятельности: СПОСОБ ЗАЩИТЫ ВЫЧИСЛИТЕЛЬНЫХ СЕТЕЙ

Изобретение относится к электросвязи и может быть использовано в системах обнаружения атак с целью оперативного выявления и противодействия несанкционированным воздействиям в вычислительных сетях.

Известен "Способ обнаружения удаленных атак в компьютерной сети" по патенту РФ №2179738, кл. G06F 12/14, заявл. 24.04.2000. Известный способ включает следующую последовательность действий. Наблюдение за информационным потоком адресованных абоненту пакетов данных, включающее постоянно возобновляемый подсчет числа пакетов, выполняемый в пределах серии пакетов, поступающих подряд друг за другом через промежутки времени не более заданного. При этом проверку поступающих пакетов данных на соответствие заданным правилам выполняют каждый раз, когда размер очередной наблюдаемой серии достигает критического числа пакетов.

Недостатком данного способа является относительно узкая область применения, так как известный способ может быть использован только для защиты от подмены одного из участников соединения.

Известен "Способ мониторинга безопасности автоматизированных систем" по патенту РФ №2261472, кл. G06F 12/14, 11/00, заявл. 29.03.2004. Известный способ включает следующую последовательность действий. Ведение учета правил установления и ведения сеанса связи путем увеличения количества запоминаемых пакетов сообщений и введения максимально допустимого количества пакетов сообщений, что необходимо для обеспечения устойчивого функционирования автоматизированных систем. При этом для проведения мониторинга предварительно определяют порог срабатывания (чувствительности) системы мониторинга безопасности автоматизированной системы, который определяется максимально допустимым количеством пакетов сообщений и количеством эталонов, причем значения показателей могут выбираться в зависимости от требуемой достоверности обнаружения атаки.

Недостатком данного способа является относительно низкая достоверность обнаружения несанкционированных воздействий в вычислительных сетях, что обусловлено отсутствием правил установления и ведения сеанса связи.

Известен также "Способ контроля информационных потоков в цифровых сетях связи" по патенту РФ №2267154, кл. G06F 15/40, заявл. 13.07.2004, заключающийся в том, что предварительно задают N≥1 опорных идентификаторов санкционированных информационных потоков (ИП), содержащих адреса отправителей и получателей пакетов сообщений, принимают из канала связи пакет сообщений, выделяют из заголовка принятого пакета сообщений идентификатор ИП, сравнивают выделенный идентификатор с предварительно заданными опорными идентификаторами санкционированных ИП и при их совпадении передают пакет сообщений получателю, а при их несовпадении сравнивают адрес отправителя, указанный в идентификаторе принятого пакета сообщений, с адресами отправителей, указанными в опорных идентификаторах санкционированных ИП.

Недостатком данного способа является относительно низкая защищенность от несанкционированных воздействий, признаками наличия которых являются несанкционированные ИП.

Наиболее близким по своей технической сущности к заявленному является второй вариант "Способа защиты вычислительных сетей" по патенту РФ №2307392, кл. G06F 21/00, H04L 9/32, заявл. 02.05.2006, заключающийся в том, что предварительно задают P≥1 ложных адресов абонентов вычислительной сети, эталоны идентификаторов типа протоколов взаимодействия, врем задержки отправки пакетов сообщений t_зад, а при несовпадении выделенных идентификаторов очередного принятого пакета с идентификаторами ранее запомненного i-го несанкционированного информационного потока сравнивают адрес получателя в принятом пакете сообщений с предварительно заданными ложными адресами абонентов вычислительной сети, и при их несовпадении, а также при выполнении условия K_i>K_max, блокируют передачу пакета сообщений и переходят к приему очередного пакета сообщений, а при несовпадении адреса отправителя в принятом пакете сообщений с адресами отправителей опорных идентификаторов санкционированных информационных потоков или совпадении адреса получателя в принятом пакете сообщений с адресами получателей опорных идентификаторов санкционированных информационных потоков, или его совпадении с предварительно заданными ложными адресами абонентов вычислительной сети запоминают идентификатор очередного несанкционированного информационного потока, увеличивают на единицу число его появлений K_i и в случае невыполнении условия K_i≥K_max, формируют ответный пакет сообщений, соответствующий идентифицируемому протоколу взаимодействия, а затем через заданное время задержки отправки пакетов сообщений t_зад снижают скорость передачи сформированного пакета сообщений и передают его отправителю, после чего принимают из канала связи очередной пакет сообщений.

Недостатком способа-прототипа является относительно низкая защищенность от несанкционированного воздействия, обусловленная отсутствием контроля последовательности воздействий на вычислительную сеть и определения выбранной нарушителем стратегии, что может повлиять на своевременность и адекватность осуществляемых защитных действий.

Целью заявленного технического решения является разработка способа защиты вычислительных сетей, обеспечивающего повышение защищенности, в том числе достоверности и оперативности обнаружения несанкционированного воздействия на вычислительную сеть за счет контроля последовательности воздействий и определения выбранной нарушителем стратегии по определенным наборам появлений несанкционированных информационных потоков с возможностью формирования новых при изменении стратегии нарушителем.

В заявленном изобретении поставленная цель достигается тем, что в известном способе предварительно запоминают N≥1 опорных идентификаторов санкционированных информационных потоков, содержащих адреса отправителей и получателей пакетов сообщений, задают P≥1 ложных адресов абонентов вычислительной сети, время задержки отправки пакетов сообщений t_зад, принимают очередной пакет сообщений и определяют его легитимность, для чего выделяют из его заголовка идентификаторы, которые сравнивают с опорными идентификаторами, и при их совпадении передают легитимный пакет сообщений получателю, после чего принимают очередной пакет сообщений и повторяют совокупность действий по определению его легитимности, а при отсутствии совпадения запоминают идентификаторы принятого несанкционированного информационного потока, присваивают ему очередной i-й идентификационный номер, сравнивают адрес получателя в принятом пакете сообщений несанкционированного информационного потока с предварительно заданными ложными адресами абонентов вычислительной сети, и при их несовпадении блокируют передачу пакета сообщений и переходят к приему очередного пакета сообщений, а при совпадении формируют ответный пакет сообщений, соответствующий используемому протоколу взаимодействия, а затем через заданное время задержки t_зад отправки пакета сообщений снижают скорость передачи сформированного пакета сообщений и передают его отправителю, после чего принимают из канала связи очередной пакет сообщений, дополнительно в исходные данные задают множество эталонных наборов появлений несанкционированных информационных потоков, отличающихся друг от друга идентификаторами S_эт={S_j}, где j - заданное количество эталонных наборов, соответствующих определенным типам компьютерных атак, S_j={C_r}, где C_r - определенная последовательность появлений несанкционированного информационного потока, отличающихся друг от друга идентификаторами, а также задают пороговое значение коэффициента совпадения Q_{совп. порог} последовательности появлений несанкционированного информационного потока с соответствующим эталонным набором. После выделения идентификаторов из заголовка очередного принятого пакета сообщений и их сравнения с опорными идентификаторами, при несовпадении адреса получателя в принятом пакете сообщений несанкционированного информационного потока с заданными ложными адресами абонентов вычислительной сети дополнительно добавляют его в список предварительно заданных ложных адресов абонентов вычислительной сети. Затем передают пакет сообщения несанкционированного информационного потока на заданные ложные адреса абонентов вычислительной сети и идентифицируют несанкционированный информационный поток. Для чего сравнивают идентификаторы появления K_i принимаемого несанкционированного потока со значениями C_r в эталонных наборах S_j появлений несанкционированных информационных потоков, и при несовпадении формируют новый S_j+1 эталонный набор и запоминают его во множестве эталонных наборов появлений несанкционированного информационного потока, а при совпадении запоминают номера эталонных наборов, которым принадлежит i-e появление несанкционированного информационного потока ИП. После чего сравнивают значения полученного коэффициента совпадения Q_совп с пороговым значением Q_{совп. порог} и при выполнении условия Q_совп≥Q_{совп. порог} блокируют i-й несанкционированный информационный поток и формируют сигнал атаки на вычислительную сеть, а при невыполнении условия после формирования ответного пакета сообщений увеличивают время задержки отправки пакетов сообщений t_зад на заданный интервал времени Δt.

Новая совокупность существенных признаков позволяет достичь указанного технического результата за счет контроля последовательности воздействий и определения выбранной нарушителем стратегии по определенным наборам появлений несанкционированных информационных потоков с возможностью формирования новых при изменении стратегии нарушителем.

Заявленный способ поясняется чертежами, на которых:

на Фиг.1 - схема, поясняющая построение рассматриваемой сети;

на Фиг.2 - блок-схема алгоритма способа защиты вычислительных сетей (ВС);

на Фиг.3 - структура заголовка IP-пакета сообщений;

на Фиг.4 - таблица эталонного набора появлений несанкционированных информационных потоков (ИП).

Реализацию заявленного способа можно пояснить на схеме вычислительной сети, показанной на фиг.1.

Показанная ВС состоит из маршрутизатора 1, подключающего внутреннюю вычислительную сеть 2 к внешней сети 3. Внутренняя вычислительная сеть в свою очередь состоит из защищаемой локально-вычислительной сети (ЛВС) 4 и ложной ЛВС 5. В общем случае защищаемая ЛВС 4 представляет собой совокупность ПЭВМ 4.1₁-4.1_N, периферийного и коммуникационного оборудования 6, объединенного физическими линиями связи. Все эти элементы определяются идентификаторами, в качестве которых в наиболее распространенном стеке протоколов TCP/IP используются сетевые адреса (IP-адреса). Ложная ЛВС 5 состоит из ПЭВМ 5.1₁-5.1_P, имеющей ложные адреса, а также предусмотрена возможность введения дополнительных ложных адресов начиная с ПЭВМ 7.1₁, объединяемых в дополнительную ложную ЛВС 7. Кроме того, имеется средство защиты 8 и база данных 9 эталонного набора появлений несанкционированных информационных потоков.

Структура пакетов сообщений известна, как известен и принцип передачи пакетов в вычислительных сетях, что дает возможность анализа идентификаторов источника и получателя ИП и формирования опорных идентификаторов. Например, на фиг.3 представлена структура заголовка IP-пакетов сообщений, где штриховкой выделены поля адресов отправителя и получателя пакета сообщений.

На фиг.2 представлена блок-схема последовательности действий, реализующих алгоритм способа защиты ВС, в которой приняты следующие обозначения:

N≥1 - база из опорных идентификаторов санкционированных ИП, содержащих адреса отправителей и получателей пакетов сообщений;

P≥1 - база из ложных адресов абонентов вычислительной сети;

t_зад - время задержки отправки пакетов сообщений;

ID - идентификатор ИП;

{ID_o} - совокупность опорных идентификаторов санкционированных ИП;

ID_нс - идентификатор несанкционированного ИП;

{ID_нс} - совокупность идентификаторов ранее запомненного несанкционированного ИП;

IP_o - адрес отправителя, указанный в идентификаторе принятого пакета сообщений;

{IP_oo} - совокупность адресов отправителей, указанных в опорных идентификаторах санкционированных ИП;

{IP_л} - совокупность ложных адресов абонентов вычислительной сети;

S_эт - множество эталонных наборов появлений несанкционированных ИП;

S_j - эталонный набор, соответствующий определенному j-му типу компьютерной атаки;

C_r - последовательность появлений несанкционированного ИП, отличающихся друг от друга идентификаторами;

Q_{совп. порог} - пороговое значение коэффициента совпадения последовательности появлений несанкционированного ИП;

Q_совп - значение коэффициента совпадения последовательности появлений несанкционированного ИП.

При обнаружении несанкционированных воздействий необходимо учитывать не только интенсивность их проявлений, но и их последовательность. Данный подход базируется на том, что любая компьютерная атака осуществляется по определенной логике [Руководящий документ. Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных. ФСТЭК России, 2008, стр.21-49].

Процесс реализации компьютерной атаки в общем случае состоит из четырех этапов: сбора информации; вторжения (проникновения в операционную среду); осуществления несанкционированного доступа; ликвидации следов несанкционированного доступа. А на каждом этапе осуществляется выполнение определенных действий, соответствующих конкретному типу компьютерной атаки. Так для компьютерной атаки типа «Сканирование сети» на первом этапе выполняются следующие действия: сбор информации о топологии сети, в которой функционирует система; сбор информации о типе операционной системы; сбор информации о доступности хоста (фиг.4). Данные действия нарушителя C_r являются последовательностью появлений несанкционированного ИП и задаются в виде эталонного набора S_j, соответствующего определенному j-му типу компьютерной атаки. Совокупность эталонных наборов {S_j} используется в базе данных 9 множества эталонных наборов S_эт появлений несанкционированных ИП.

Действия по определению легитимности пакета сообщения ИП осуществляется средством защиты 8. После приема очередного пакета сообщения и определения средством защиты 8, по соответствующим идентификаторам отправителя и получателя ИП, его принадлежности к санкционированным ИП, данный пакет считается легитимным и передается получателю.

Адрес получателя пакета сообщения несанкционированного ИП сравнивается с предварительно заданными ложными адресами абонентов вычислительной сети 5.1₁-5.1_P, при несовпадении вводится дополнительный ложный адрес ПЭВМ 7.1₁, после чего пакет сообщения несанкционированного ИП передается на ложную ЛВС 5 или дополнительную ложную ЛВС 7 соответственно. Кроме того, сравнивают идентификаторы появления K_i принимаемого несанкционированного потока со значениями C_r, имеющимися в эталонных наборах S_j появлений несанкционированных ИП, содержащихся в базе данных 9. При отсутствии соответствующего эталонного набора, формируют новый S_j+1 эталонный набор, дополняют им множество эталонных наборов появлений несанкционированного ИП и запоминают его в базе данных 9.

Вычисляют значение коэффициента совпадения Q_совп последовательности появлений K_i несанкционированного ИП с запомненными эталонными наборами S_j. После этого сравнивают полученное значение коэффициента совпадения Q_совп с пороговым значением Q_{совп. порог} и при выполнении условия Q_совп≥Q_{совп.порог} блокируют i-й несанкционированный ИП и формируют сигнал атаки на вычислительную сеть.

При невыполнении условия Q_совп≥Q_{совп. порог} формируют ответный пакет сообщения и увеличивают время задержки отправки пакетов сообщений t_зад на заданный интервал времени Δt, что, с одной стороны, имитирует функционирование реальной BC, а с другой стороны, вынуждает нарушителя увеличить время реализации проводимой компьютерной атаки и тем самым уменьшить количество возможных несанкционированных деструктивных воздействий.

Таким образом, заявленный способ за счет контроля последовательности воздействий и определения выбранной нарушителем стратегии по определенным наборам появлений несанкционированных информационных потоков с возможностью формирования новых при изменении стратегии нарушителем позволяет повысить защищенность, в том числе достоверность и оперативность обнаружения несанкционированного воздействия на вычислительную сеть.