СПОСОБ ЗАЩИТЫ ИНФОРМАЦИОННО-ВЫЧИСЛИТЕЛЬНЫХ СЕТЕЙ ОТ КОМПЬЮТЕРНЫХ АТАК

Изобретение относится к электросвязи и может быть использовано в системах защиты от компьютерных атак путем их достоверного выявления и блокирования в информационно-вычислительных сетях (ИБС).

Известен способ защиты от компьютерных атак, реализованный в патенте РФ №2179738, "Способ обнаружения удаленных атак в компьютерной сети", класс G06F 12/14, заявл. 24.04.2000 г.

Данный способ включает следующую последовательность действий. Наблюдение за информационным потоком адресованных абоненту ИБС пакетов сообщений, включающее постоянно возобновляемый подсчет числа пакетов, выполняемый в пределах серии пакетов, поступающих из канала связи (КС) подряд друг за другом через промежутки времени не более заданного. При этом проверку поступающих пакетов данных на соответствие заданным правилам выполняют каждый раз, когда размер очередной наблюдаемой серии достигает критического числа пакетов.

Недостатками данного способа являются узкая область применения, что обусловлено его предназначением в основном для защиты от подмены одного из участников соединения, и недостаточная достоверность при обнаружении других типов компьютерных атак. В аналоге применяют ограниченную совокупность признаковых описаний компьютерных атак. При этом не учитывают наличия большого количества типов компьютерных атак, в частности типов атак, использующих фрагментацию пакетов, передаваемых между сегментами ИБС, что создает условия для пропуска последних и, как следствие, приводит к снижению устойчивости функционирования ИБС.

Известен способ оперативного динамического анализа состояний многопараметрического объекта, описанный в патенте РФ 2134897, опубликованном 20.08.1999 г., позволяющий по изменению состояния элемента ИБС обнаруживать компьютерные атаки. В известном способе преобразуют результаты допусковой оценки разнородных динамических параметров в соответствующие информационные сигналы с обобщением по всему множеству параметров в заданном временном интервале и определяют относительную величину и характер изменения интегрального состояния многопараметрического элемента ИБС.

Недостатком данного способа является узкая область применения, обусловленная тем, что несмотря на возможность оперативной диагностики технического и функционального состояний многопараметрического элемента ИБС, в нем применяют ограниченную совокупность признакового пространства, что создает условия для пропуска удаленных компьютерных атак (см. Медведовский И.Д. и др. Атака на Internet. - М.: ДМК, 1999. - 336 с.: ил.) и, как следствие, приводит к снижению устойчивости функционирования ИБС.

Известен способ защиты от компьютерных атак, реализованный в устройстве по патенту РФ 2219577, "Устройство поиска информации", класс G06F 17/40, опубликованный 24.04.2002 г. Способ заключается в том что принимают из КС i-ый пакет, где i=1, 2, 3, …, и запоминают его. Принимают (i+1)-ый пакет, запоминают его. Выделяют из заголовка i-го и (i+1)-го пакетов идентификационные признаки, анализируют их на предмет совпадения, по результатам анализа принимают решение о факте наличия компьютерной атаки.

Недостатком данного способа является относительно низкая устойчивость функционирования ИВС в условиях воздействия компьютерных атак, связанная с тем, что сравнением двух пакетов сообщений - последующего и предыдущего, распознается только одно семейство компьютерных атак - "шторм" ложных запросов на установление соединения, тогда как компьютерные атаки других типов, обладающие высокими деструктивными возможностями, не распознаются.

Известен способ защиты информационно-вычислительных сетей от компьютерных атак, реализованный в патенте RU №2285287, МПК G06F 12/14 H06F 12/22, опубл. 10.10.2006 г., бюл. №28. Способ заключается в том, что принимают i-й, где i=1, 2, 3 …, пакет сообщения из канала связи, запоминают его, принимают (i+1)-й пакет сообщения, запоминают его, выделяют из запомненных фрагментированных пакетов сообщений характеризующие их параметры, вычисляют необходимые параметры для сравнения принятых фрагментированных пакетов и по результатам сравнения принимают решение о факте наличия или отсутствия компьютерной атаки.

Недостатком данного способа является низкая оперативность обнаружения компьютерной атаки, обусловленная выполнением соответствующих действий по обнаружению уже в процессе осуществления компьютерной атаки, что может привести к несанкционированному воздействию на информационно-вычислительную сеть.

Наиболее близким по технической сущности к предлагаемому способу является способ защиты информационно-вычислительных сетей от компьютерных атак, реализованный в патенте RU №2472211, МПК G06F 12/14, опубл. 10.01.2013 г., бюл. №1. Способ заключается в следующих действиях: формируют массив для запоминания фрагментированных пакетов сообщения и массивы для запоминания параметров, в качестве выделенных полей из запомненных пакетов сообщений используют поля данных: «Время жизни пакета» {T}, «Опции» {О}, «IР адрес назначения» {D}, «IР адрес источника» {I}, дополнительно формируют список доверенных адресов получателя и отправителя пакетов сообщений, которые запоминают в массивах эталонных параметров значений полей данных: «IР адрес назначения» {D_эт} и «IР адрес источника» {I_эт}, затем адаптируют информационно-вычислительную сеть для чего в тестовом режиме, измеряют значения полей данных пакета «Время жизни пакета» и «Опции» для всех маршрутов между доверенными получателем и отправителем пакетов сообщений и запоминают измеренные значения параметров в соответствующих массивах эталонных параметров значений, после запоминания принятого пакета сообщения, выделяют из заголовка данного пакета значения полей данных: Т, О, D и I и сравнивают эталонные значения полей данных «Время жизни пакета», «Опции», «IР адрес назначения» и «IP адрес источника» со значениями полей данных из полученного пакета, причем устанавливают факт отсутствия атаки, если эталонные значения полей данных: «Время жизни пакета», «Опции», «IР адрес назначения» и «IР адрес источника» совпадают со значениями полей данных из полученного пакета, а факт наличия атаки устанавливают, если эталонные значения не совпадают со значениями полей данных из полученного пакета.

Недостатком способа-прототипа является относительно низкая защищенность от компьютерной атаки, обусловленная выполнением соответствующих действий по обнаружению компьютерной атаки для пакетов сообщений, переданных только по одному маршруту в ИБС, а также значительное увеличение времени обнаружения компьютерной атаки при увеличении количества узлов ИБС.

Задачей изобретения является создание способа защиты информационно-вычислительных сетей от компьютерных атак, обеспечивающего расширение функциональных возможностей способа-прототипа по повышению защищенности от компьютерных атак за счет определения маршрутов передачи пакетов сообщений, на которых имеются узлы, подверженные компьютерным атакам, и, соответственно, исключение повторного использования данных маршрутов, а также при увеличении количества узлов сети связи уменьшение времени на обнаружение компьютерной атаки.

Задача изобретения решается тем, что способ защиты информационно-вычислительных сетей от компьютерных атак, заключающийся в том, что формируют массив для запоминания фрагментированных пакетов сообщения и массивы для запоминания параметров, выделенных из запомненных пакетов сообщений, формируют список доверенных адресов получателя и отправителя пакетов сообщений, которые запоминают в массивах эталонных параметров значений полей данных: «IР адрес назначения» {D_эт} и «IР адрес источника» {I_эт}, принимают очередной пакет сообщения из канала связи, запоминают его, для обнаружения факта атаки или ее отсутствия выделяют из заголовка данного пакета значения полей данных: «Время жизни пакета» Т, «IР адрес назначения» D и «IР адрес источника» I, и запоминают их в соответствующих массивах {T}, {D} и {I}, сравнивают эталонные значения полей данных «Время жизни пакета», «IР адрес назначения» и «IР адрес источника» со значениями полей данных из полученного пакета, и при отсутствии компьютерной атаки передают очередной пакет сообщения, в информационно-вычислительную сеть, отличающийся тем, что дополнительно задают исходные значения поля данных «Время жизни пакета» для имеющихся маршрутов передачи пакетов сообщений, которые запоминают в сформированный для них массив {T_исх} у отправителя пакетов сообщений, и записывают их в соответствующее поле данных, затем передают пакеты сообщений по всем маршрутам между доверенными получателями и отправителями информационно-вычислительных сетей в тестовом режиме, измеряют значения полей данных пакета «Время жизни пакета» у получателя, и запоминают измеренные значения параметра в сформированный массив эталонных параметров значений поля данных «Время жизни пакета» T_эт, после чего при передаче пакетов сообщений между доверенными отправителями и получателями в поле данных пакета «Время жизни пакета» записывают соответствующие исходные значения из массива {T_исх}, затем после выделения и запоминания из заголовка принятого пакета значения полей данных: «Время жизни пакета» Т, «IР адрес назначения» D и «IР адрес источника» I в соответствующих массивах {Т}, {D} и {I}, если при сравнении эталонные значения полей данных «Время жизни пакета», «IР адрес назначения» и «IР адрес источника» не совпали со значениями полей данных из полученного пакета, передают от получателя к отправителю пакет уведомления об установлении факта наличия атаки, в этом случае для передачи очередного пакета сообщений между данной парой доверенных отправителя и получателя задают новый маршрут, и из массива {T_исх} записывают исходные значения поля данных «Время жизни пакета» для данного маршрута в соответствующее поле заголовка пакета, после чего передают очередной пакет сообщений между доверенными отправителем и получателем в соответствии с данным маршрутом, и повторно выделяют, запоминают, и сравнивают значения полей данных: «Время жизни пакета» Т, «IР адрес назначения» D и «IР адрес источника» I принятого пакета с эталонными значениями, в случае совпадения значений полей данных пакета устанавливают факт отсутствия атаки, после чего формируют массив {А}, и записывают в него все маршруты, для которых установлен факта наличия атаки.

Перечисленная новая совокупность существенных признаков обеспечивает возможность повышения защищенности от компьютерной атаки за счет определения маршрутов передачи пакетов сообщений, на которых имеются узлы подверженные компьютерной атаке и уменьшения времени на обнаружение компьютерной атаки при увеличении количества узлов в ИВС.

Проведенный анализ позволил установить, что аналоги, тождественные признакам заявленного способа, отсутствуют, что указывает на соответствие заявленного способа условию патентоспособности «новизна».

Результаты поиска известных решений в данной и смежных областях техники с целью выявления признаков, совпадающих с отличительными от прототипа признаками заявленного объекта, показали, что они не следуют явным образом из уровня техники. Из уровня техники также не выявлена известность влияния предусматриваемых существенными признаками заявленного изобретения преобразований на достижение указанного технического результата. Следовательно, заявленное изобретение соответствует условию патентоспособности «изобретательский уровень».

«Промышленная применимость» способа обусловлена наличием элементной базы, на основе которой могут быть выполнены устройства, реализующие данный способ с достижением указанного в изобретении назначения.

Заявленный способ поясняется чертежами, на которых показано:

фиг. 1 - блок-схема алгоритма способ защиты ИВС от компьютерных атак;

фиг. 2 - схема поясняющая порядок формирования маршрутов передачи пакетов сообщений в ИВС;

фиг. 3-схема поясняющая реализацию компьютерных атак и изменение маршрутов передачи пакетов сообщений в ИВС;

фиг. 4 - заголовок IP дейтограммы;

фиг. 5 - таблица эталонных значений полей данных «IР адрес назначения», «IР адрес источника» и «Время жизни пакета» для определенных маршрутов;

фиг. 6 - зависимость времени обнаружения компьютерной атаки от количества узлов сети связи.

Реализация заявленного способа поясняется алгоритмом (фиг. 1), схемами (фиг. 2 и фиг. 3) и объясняется следующим образом:

На начальном этапе формируют массивы Р, D, I, Т, D_эт, I_эт, T_исх, T_эт для запоминания параметров задаваемых и выделенных из запомненных пакетов сообщений соответственно (блок 1, фиг. 1):

Р - для запоминания поступающих из канала связи IР-пакетов сообщений;

D - для запоминания значений поля данных «IР адрес назначения»;

I - для запоминания значений поля данных «IР адрес источника»;

Т - для запоминания значений поля данных «Время жизни пакета»;

D_эт - для запоминания эталонных параметров значений поля данных «IР адрес назначения»;

I_эт - для запоминания эталонных параметров значений поля данных «IР адрес источника»;

T_исх - для запоминания исходных параметров значений поля данных «Время жизни пакета»;

Т_эт - для запоминания эталонных параметров значений поля данных «Время жизни пакета».

В предлагаемом изобретении используют функции IР-протокола, применяемые при передаче пакетов по сети. Заголовок протокола IP содержит множество полей (фиг. 4). В полях «IР адрес назначения» и «IР адрес источника» будут находиться 32 битные последовательности, определяющие логические адреса назначения и источника пакета сообщения необходимые для передачи его по ИВС. Поле «Время жизни пакета» определяет максимальное время существования дейтаграммы в сети [RFC 791, Internet Protocol, 1981, сентябрь, стр. 14-22].

Определяют доверенные IP-адреса получателя и отправителя для запоминания этих значений в массив D_эт, I_эт (блок 2, фиг. 1). Под доверенными IР-адресами понимают пары адресов, источника и назначения, легитимных абонентов различных фрагментов ИВС. Запоминают данные значения доверенных адресов получателя и отправителя пакетов сообщений в соответствующих массивах.

Кроме того задаются и запоминаются исходных значения Г_исх параметров поля данных «Время жизни пакета» для всех маршрутов передачи пакетов сообщений (блок 3, фиг. 1). При этом данные значения задаются с учетом количества узлов сети связи на маршруте передачи.

Таким образом, последовательность узлов, лежащих на пути от отправителя к получателю, образуют маршрут передачи сообщений [В.Г. Олифер, Н.А. Олифер Компьютерные сети. Принципы, технологии, протоколы (3-е издание) Спб.: Питер - 2006, стр. 64].

Это связано с тем, что значение поля «Время жизни пакета» необходимо для реализации механизма стирания пакетов, у которых значение данного поля равно нулю [RFC 791, Internet Protocol, 1981, сентябрь, стр. 14-22]. Для обеспечения гарантированной доставки пакетов до получателя значение данного поля должно превышать количество промежуточных узлов на маршруте передачи. В общем случае исходное значение T_исх параметра поля данных «Время жизни пакета» может быть выбрано одно для всех маршрутов, но оно должно соответствовать наиболее протяженному маршруту, имеющего большее количество узлов. Например, на фиг. 2 показано пять возможных маршрутов передачи пакетов по сети связи между отправителем и получателем. Так первый маршрут, состоящий из промежуточных узлов с адресами: 100.0.0.1; 101.0.0.1; 109.0.0.1; 115.0.0.2 достаточным значением поля данных «Время жизни пакета» является пять. А для пятого маршрута, состоящего из промежуточных узлов с адресами: 100.0.0.1; 103.0.0.1; 104.0.0.2; 108.0.0.1; 114.0.0.2; 120.0.0.2; 119.0.0.1; 118.0.0.2 уже достаточным значением поля данных «Время жизни пакета» является девять. Учитывая, что пятый маршрут имеет максимальное количество промежуточных узлов, то T_исх может быть выбрано равным десяти для всех маршрутов, как показано на фиг. 5.

Затем, осуществляется перевод ИВС в тестовый режим функционирования, который подразумевает ее адаптацию к реальным условиям (блок 4, фиг. 1). Под адаптацией в соответствии с [ГОСТ Р 53622-2009 «Информационные технологии. Информационно-вычислительные системы. Стадии и этапы жизненного цикла, виды и комплектность документов», стр. 4-5] понимается работа информационно-вычислительной сети в тестовом режиме для внедрения ее в конкретные условия функционирования. При этом в тестовом режиме предполагаются идеальные условия функционирования сети связи, т.е. отсутствие компьютерных атак, что позволяет получить эталонные значения необходимых характеристик передаваемых пакетов сообщений. В данном режиме осуществляется передача пакетов сообщений между всеми парами от отправителя I^k_j к получателю D^k_j, j=1, 2, … N, где N - количество пар адресов доверенных абонентов, по всем имеющимся маршрутам k=1, 2, … M, где М - количество маршрутов между j-й парой адресов доверенных абонентов (блок 5, фиг. 1).

Далее у получателя измеряют реальные значения поля данных пакета «Время жизни пакета» T^k_j для всех имеющихся маршрутов k=1, 2, … М для всех существующих пар адресов доверенных абонентов j=1, 2, … N (блоки 6-11, фиг. 1).

При передаче пакетов по сети промежуточные узлы (маршрутизаторы) осуществляют их маршрутизацию по адресной информации, имеющейся в заголовке пакета [ГОСТ Р ИСО/МЭК 7498-1-99 «Информационная технология. Взаимосвязь открытых систем. Базовая эталонная модель. Часть 1. Базовая модель», стр. 13].

Таким образом, полученные значения поля данных пакета «Время жизни пакета» T^k_j показывают количество промежуточных узлов, через которые передан пакет сообщения по k-му маршруту между j-й парой отправитель-получатель. Например, для маршрутов передачи пакетов сообщения, показанных на фиг. 2, приведены измеренные значения поля данных пакета «Время жизни пакета» T^k_j в таблице фиг. 5, которые являются эталонными (т.к. они получены в тестовом режиме функционирования) для соответствующих маршрутов и будут записаны в массив {T_эт} (блок 7, фиг. 1). Так, для первого маршрута, учитывая заранее заданное у отправителя исходное значение параметра поля данных «Время жизни пакета» T_исх=10, на каждом промежуточном узле (маршрутизаторе) через которые передается пакет сообщения (узлы: 100.0.0.1; 101.0.0.1; 109.0.0.1; 115.0.0.2) значение поля данных «Время жизни пакета» уменьшается на единицу [В.Г. Олифер, Н.А. Олифер Компьютерные сети. Принципы, технологии, протоколы (3-е издание) Спб.: Питер - 2006., стр. 600] и эталонное значение поля данных «Время жизни пакета» принятого пакета у получателя получится равным T_эт=10-4=6. Аналогично для маршрутов 2-5 показанных на фиг. 2 в таблице фиг. 5 приведены соответствующие эталонные значения поля данных «Время жизни пакета»: маршрут 2 имеет пять промежуточных узлов (узлы: 100.0.0.1; 102.0.0.1; 105.0.0.2; 110.0.0.1; 115.0.0.2) и эталонные значения T_эт=10-5=5; маршрут 3 имеет шесть промежуточных узлов (узлы: 100.0.0.1; 103.0.0.1; 107.0.0.2; 106.0.0.2; 110.0.0.1; 115.0.0.2) и эталонные значения T_эт=10-6=4; маршрут 4 имеет семь промежуточных узлов (узлы: 100.0.0.1; 103.0.0.1; 107.0.0.2; 113.0.0.2; 112.0.0.2; 111.0.0.1; 117.0.0.1) и эталонные значения T_эт=10-7=3; маршрут 5 имеет восемь промежуточных узлов (узлы: 100.0.0.1; 103.0.0.1; 104.0.0.2; 108.0.0.1; 114.0.0.2; 120.0.0.2; 119.0.0.1; 118.0.0.2) и эталонные значения T_эт=10-8=2.

После того как все эталонные значения проверяемых параметров собраны и записаны в соответствующие массивы, осуществляют перевод ИВС в режим реальной работы (эксплуатация) (блок 12, фиг. 1). При этом на ИВС злоумышленники будут осуществлять различные воздействия, в том числе реализуя компьютерные атаки.

Далее при функционировании ИВС получатель принимает i-й пакет сообщения из канала связи, запоминает его в массиве Р для дальнейшей работы с заголовком i-го пакета (блоки 13, 14, фиг. 1).

После этого выделяют из заголовка i-го пакета значения поля данных «Время жизни пакета» T_i, поля данных «IР адрес назначения» D_i и поля данных «IР адрес источника» I_i и запоминают их в массивах {T}, {D}, {I}.

Затем производится сравнение запомненных значений D_i, I_i принятого пакета сообщения с эталонными значениями из массивов {D_эт}, {I_эт}, определение пары отправитель-получатель (конкретная j-я пара доверенных абонентов) и определение соответствующего маршрута передачи данного пакета сообщения при сравнении запомненного значения T_i с эталонными значениями из массива {T_эт} для данной пары отправитель-получатель (блок 16, фиг. 1). При этом если компьютерная атака воздействует на узлы 101.0.0.1 и 102.0.0.1 (фиг. 3), то первый и второй маршруты (фиг. 5) будут недоступны для передачи пакетов сообщений, т.к. данные узлы входят в соответствующие маршруты (узел 101.0.0.1 в первый маршрут, узел 102.0.0.1 во второй маршрут). В этом случае узел 100.0.0.1 работающий как маршрутизатор имеет в таблице маршрутизации несколько (для приведенного примера пять) альтернативных маршрутов [В.Г. Олифер, Н.А. Олифер Компьютерные сети. Принципы, технологии, протоколы (3-е издание) Спб.: Питер - 2006, стр. 198]. Из них выбирается определенный маршрут по заданному критерию, например задержка прохождения маршрута пакетом [В.Г. Олифер, Н.А. Олифер Компьютерные сети. Принципы, технологии, протоколы (3-е издание) Спб.: Питер - 2006, стр. 602-613], т.е. количество промежуточных узлов на маршруте. Таким образом, маршрутизатор выберет третий маршрут, имеющий по данному критерию превосходство над остальными (меньшее количество промежуточных узлов), который является альтернативным относительно первого и второго маршрутов.

В случае невыполнения условия (блок 16, фиг. 1) от получателя D_j к отправителю I_i передается пакет, уведомляющий об «установлении факта наличия компьютерной атаки» (блок 17, фиг. 1) и отправитель задает следующий маршрут передачи пакетов k=k+1 для данной пары отправитель-получатель (для приведенного примера выбирается из таблицы фиг. 5 третий маршрут), а для него выбирается и записывается в поле данных «Время жизни пакета» соответствующее исходное значение из массива {T_исх} (блок 19, фиг. 1).

Затем по выбранному маршруту передается очередной пакет сообщения (блок 20, фиг. 1) от отправителя к получателю и для данного пакета повторно осуществляются действия начиная с приема пакета сообщения из канала связи (блок 13, фиг. 1).

В случае если условия (блок 16, фиг. 1) выполняются, то делается вывод об отсутствии факта компьютерной атаки и передают данный i-й пакет сообщения в информационно-вычислительную сеть (блок 21, фиг. 1).

После чего, формируется массив {А}, и записывается в него все маршруты, для которых установлен факта наличия атаки (блок 22, фиг. 1), что позволяет исключить повторное их использование для передачи пакетов сообщения.

Возможность реализации сформулированного технического результата была проверена путем машинного моделирования. С помощью моделирования получена взаимосвязь значений времени распознавания t_обн (обнаружения) компьютерной атаки от количества узлов сети связи N (фиг. 6).

Достижение технического результата поясняется следующим образом. Для способа-прототипа при обнаружении компьютерной атаки осуществляется сравнение значений полей данных «Время жизни пакета» и «Опции» пакетов за время T₁, которое зависит в основном от значений поля «Опции», т.к. в нем размещается маршрут передачи пакета - это 3-15 узлов в маршруте [В.Г. Олифер, Н.А. Олифер Компьютерные сети. Принципы, технологии, протоколы (3-е издание) Спб - 2009 г., стр. 608-611], а он состоит из адресов промежуточных узлов - это 4 байта в десятичной форме 12 разрядов [В.Г. Олифер, Н.А. Олифер Компьютерные сети. Принципы, технологии, протоколы (3-е издание) Спб - 2009 г., стр. 567-571]. Для предлагаемого способа выявление компьютерной атаки производится по результатам анализа значений поля данных «Время жизни пакета» принятого пакета за время Т₂, которые зависят только от количества узлов в маршруту передачи - это 2-3 разрядное число в десятичной форме.

При этом разница в требуемом времени для обнаружения компьютерной атаки ΔT=T₁-Т₂ тем больше чем больше количество узлов сети связи, чем и достигается сформулированный технический результат при реализации заявленного способа, т.е. уменьшению времени на обнаружение компьютерной атаки.

Кроме того, повышение защищенности от компьютерных атак для приведенного примера достигается тем, что из имеющихся пяти маршрутов передачи пакетов сообщений в двух имеются узлы подверженные компьютерной атаке и в предлагаемом способе по ним исключена повторная передача пакетов сообщения. В этом случае защищенность ИВС от компьютерных атак повышается на 25%, что подтверждает сформулированный технический результат.

Таким образом, заявленный способ за счет определения маршрутов передачи пакетов сообщений, на которых имеются узлы подверженные компьютерной атаке и соответственно исключение повторного использования данных маршрутов позволяет повысить защищенность ИВС от компьютерных атак, а также при увеличении количества узлов сети связи уменьшить время на их обнаружение.