Устройство защиты вычислительных сетей и систем от компьютерных атак

Авторы патента:

Полезная модель относится к устройствам защиты компьютеров или компьютерных систем от несанкционированной деятельности, в частности к устройствам защиты, путем ограничения доступа к узлам в компьютерных системах или сетях. Технический результат - повышение уровня защищенности вычислительных сетей и систем от внешних и внутренних угроз и автоматизация процесса фильтрации аномального трафика. Он достигается тем, что система содержит базу данных сетевой статистики, собранную сетевым монитором, подключенным к сетевым интерфейсам компьютера, блок прогнозирования объемов трафика на основе циклического анализа временных рядов, систему поддержки принятия решения (СППР), соединенную с фильтром сетевых пакетов и принимающую решение пропускать или фильтровать сетевые пакеты на основе сравнения реального объема трафика результатом прогноза, блок обучения и управления СППР, через который происходит обучение и настройка базы правил СППР оператором системы.

Известно устройство защиты от компьютерных атак в автоматизированных системах (см. патент РФ 98267, 2010 г.), содержащее блок хранения эталонов известных атак и необходимых коэффициентов, блок приема адресованных абоненту пакетов данных, блок контроля правильности фрагментации пакета, блок проверки поступающих пакетов данных на соответствие заданным правилам, блок реагирования для принятия мер защиты от атаки, причем вход блока приема связан с каналом связи, его выход соединен с входом блока контроля правильности фрагментации пакета, выход которого соединен с входом блока проверки на соответствие заданным правилам, выход блока хранения эталонов соединен с входом блока проверки по заданным правилам, выход блока проверки по заданным правилам соединен с входом блока реагирования, а выход блока реагирования соединен с входом блока приема пакетов имеет недостатки в виде отсутствия возможности автоматического обучения системы и необходимости хранения и обновления эталонов известных атак.

Наиболее близким по технической сути является система для обнаружения и предотвращения утечек информации, включающая блок библиотеки перехвата потока данных, соединенный с блоком анализа информации, и блок пользовательского интерфейса, отличающаяся тем, что содержит блок декодеров, блок сопоставления с образцом, блок библиотеки журнала и настроек и блок тестирования, при этом блок библиотеки перехвата потока данных подключен к коммутатору рабочих станций локальной вычислительной сети и канала доступа в Интернет, блок анализа информации соединен с блоком декодеров, блоком сопоставления с образцом, блоком библиотеки журнала и настроек, а блок библиотеки журнала и настроек подключен к блоку пользовательского интерфейса и блоку тестирования (см. патент РФ 96991, 2010 г.).

Недостатком этого устройства является необходимость поддержания образцов для блока сопоставления с образцом, отсутствие возможности автоматического обучения системы на основе действий оператора, большая нагрузка на систему ввиду необходимости разбора сетевых пакетов для поиска образцов в потоках данных.

На рисунке изображена схема устройства защиты вычислительных сетей и систем от компьютерных атак, в состав которой входят: сетевой монитор 1, база данных сетевой статистики 2, блок прогнозирования 3, система поддержки принятия решения (СППР) 4, блок обучения и управления устройством 5, фильтр сетевых пакетов 6, сетевые адаптеры, подключенные к внешней 7 и внутренней 8 сетям.

Система работает следующим образом.

Блок «Сетевой монитор» подключается к сетевым интерфейсам компьютера, через которые проходят пакеты из внешней и внутренней сетей. Данный блок перехватывает все пакеты, прошедшие через сетевые интерфейсы. В перехваченных пакетах осуществляется поиск заголовков IP-пакетов, из которых извлекается вся необходимая для дальнейшей работы информация. Полученные таким образом данные сохраняются в «Базе данных сетевой статистики» вместе с датой и временем прихода кадра.

Далее, накопленные данные обрабатывается в блоке «Прогнозирование». На этом этапе сетевая статистика приводится к виду упорядоченной по времени последовательности, состоящей из значений разной величины. Полученный в результате временной ряд обрабатывается методом циклического анализа, с целью поиска возможных циклов в недельных, дневных и внутрисуточных данных. Поиск циклов представлен следующей последовательностью действий:

1. Перевод данных в логарифмическую форму (первый шаг по удалению трендовых компонентов). Силы роста влияют на статистические методы, поэтому необходимо от них полностью избавиться. На данном этапе для удаления тренда набор данных логарифмируется.

2. Сглаживание данных. Производится удаление случайных всплесков в данных.

3. Поиск возможных циклов. Чтобы определить частотные составляющие рассматриваемого ряда, используется метод спектрального анализа. В основе спектрального анализа лежит преобразование Фурье. Прямое дискретное преобразование Фурье для конечной последовательности вычисляется по формуле:

Обратное дискретное преобразование Фурье отражается формулой:

Полученный в результате спектрального анализа спектр мощности, отражает единственное значение для каждой частоты в рассмотренном частотном диапазоне. Наличие высоких значений для конкретной частоты означает возможное наличие цикла с данной частотой.

4. Окончательное удаление трендовых компонентов данных благодаря использованию отклонений от скользящей средней;

5. Проверка циклов с точки зрения статистической значимости и доминантности. Для этого предполагаемые циклы проверяются математическими тестами. Первый тест - это F-коэффициент. Данный тест измеряет надежность амплитуды цикла. Далее цикл тестируется на надежность фазы цикла (тест Хи-квадрат). Если цикл проходит тесты, то для него вычисляются его фаза и амплитуда, необходимые для комбинирования найденных циклов.

6. Комбинирование циклов в будущее. Полученные циклы комбинируются методом сложения, и на их основе делается прогноз объема трафика.

Полученные на выходе блока «Прогнозирование» результаты используются в «СППР» для поиска аномалий в объеме сетевого трафика. Для этого прогноз сравнивается с данными, поступающими с сетевого устройства в реальном времени, и в случае их значительного расхождения делается вывод об обнаружении сетевой аномалии.

В работе «СППР» используются следующие характеристики:

- порог отклонения (v'): данная величина определяет «высокую» аномалию;

- пороговая частота (m'): параметр задает какую частоту следует считать «постоянной»;

- пороговое количество источников аномалий (i'): параметр определяет, какое количество аномалий следует определять как «много»;

- тип сети: внешняя или внутренняя.

Математическая модель, лежащая в основе «СППР», содержит следующие переменные:

Входные переменные:

- Объем отклонения (V). Определяет величину отклонения реального, трафика от спрогнозированного. V = {низкое, ниже среднего, среднее, выше среднего, высокое}.

- Частота появления аномалии (m). Отображает, как часто система обнаруживает сетевую аномалию. Система должна уметь определять, как часто в трафики проявляются аномалии, и, в зависимости от интенсивности, регулировать продолжительность блокирования источников аномалии, m = {иногда, редко, периодически, часто, постоянно}.

- Тип трафика (Т). Определяет происхождение трафика: внешняя или внутренняя сеть. Т = {внешняя, внутренняя}.

- Пороговое количество источники аномалий (I). Определяет количество сетевых источников, вызывающих аномалию объема трафика. I = {мало, ниже среднего, среднее, много}.

Выходная переменная:

- Величина аномалии (Е) = {аномалия отсутствует, незначительная аномалия, аномалия ниже среднего, средняя аномалия, высокая аномалия, критическая аномалия}. Данная оценка позволяет оценить аномалию и задать необходимое время блокирования источника аномалии. Задание времени блокировки может быть также настроено администратором системы.

Формирование нечетких множеств происходит по следующей схеме:

Для определения значений переменной «Объем отклонения» (V) воспользуемся свойством «порог отклонения» (v'). Данное значение делится на 5 частей следующим образом:

0v'V<0,2v' - низкое;

0,2v'V<0,4v' - ниже среднего;

0,4v'V<0,6v' - среднее;

0,6v'V<0,8v' - выше среднего;

V0,8v' - высокое.

Частота появления аномалий рассчитывается аналогичным способом.

Для расчета на пять частей делится параметр «Пороговая частота» (m'):

0mm<0,2 m' - иногда;

0,2m'm<0,4m' - редко;

0,4m'm<0,6m' - периодически;

0,6m'm<0,8m' - часто;

m0,8m' - постоянно.

Переменная «Тип трафика» показывает во внутренней или внешней сети появилась аномалия.

Количество источников аномалий определяется на основе параметра «Количество источников аномалий» (i'):

0i'1<0,25i' - мало;

0,25i'I<0,5i' - ниже среднего;

0,5i'I<0,75i' - среднее;

I0,75i' - много.

Задание параметров и правил «СППР» происходит в блоке «Обучение и управление». Система имеет изначально определенный набор правил, который может быть подкорректирован вручную.

База правил формируется на основе продукционной модели. Пример правил выглядит следующим образом:

ЕСЛИ (V = выше среднего) И (m = часто) И (Т = внешняя) И (I = очень много) ТО (Е = высокая аномалия);

ЕСЛИ (V = низкое) И (m = очень редко) И (Т = внутренняя) И (I = много) ТО (Е = незначительная аномалия);

Если (Е = высокая аномалия) ТО (блокировать источник на 10 часов);

Если (Е = незначительная аномалия) ТО (блокировать источник на 5 минут)

В случае обнаружения аномалии объема сетевого трафика, «СППР» определяет источники аномалии, которые фильтруются в блоке «Фильтр пакетов».

Положительный эффект заключается в расширении возможностей: фильтрации аномалий объема сетевого трафика за счет использования циклического анализа для прогнозирования сетевого трафика, позволяющего учитывать тренд в данных, получать прогноз уже при небольшом количестве собранных данных, использовать систему в практически любых сетях от небольших локальных сетей, до крупных распределенных вычислительных сетей, определять аномалии как во внутренних, так и во внешних сетях, а также в автоматизации процесса поиска сетевых аномалий и фильтрации аномальных пакетов и обучении системы с целью ее адаптации для конкретной сети.

Источники информации

1. Патент 98267, 2010 г.

2. Патент 96991, 2010 г. (прототип).

Устройство защиты вычислительных сетей и систем от компьютерных атак, содержащее сетевой монитор, собирающий статистику о входящем и исходящем трафиках с сетевых интерфейсов, подключенных к внешней и внутренней сетям, а также фильтр сетевых пакетов, отличающаяся тем, что система содержит базу данных сетевой статистики, собранную сетевым монитором, подключенным к сетевым интерфейсам компьютера, блок прогнозирования объемов трафика на основе циклического анализа временных рядов, систему поддержки принятия решения (СППР), соединенную с фильтром сетевых пакетов и принимающую решение пропускать или фильтровать сетевые пакеты на основе сравнения реального объема трафика результатом прогноза, блок обучения и управления СППР, через который происходит обучение и настройка базы правил СППР оператором системы.

Комбинированная марка // 96269

Сетевой фильтр // 101294

Электронная автоматизированная информационная система идентификации и маркировки произведения как объекта, перешедшего в общественное достояние // 104345

Комплекс инженерно-технической защиты охраняемого объекта с идентификацией речи // 105051

Автоматизированная система управления защитой информации в территориально распределенной прикладной системе управления // 113442

Интеллектуальная система автоматизации средств жизнеобеспечения // 108611

Полезная модель относится к области электроники, а также к области обработки и передачи данных для специальных применений и может быть использована для создания централизованных систем контроля и интеллектуального управления инфраструктурой жилых, офисных и общественных зданий и помещений, включающих системы электроснабжения, водоснабжения, теплоснабжения, газоснабжения, вентиляции, и т.п.

Устройство контроля и предупреждения об отсутствии активной защиты объекта информатизации от утечки информации по каналу побочных электромагнитных излучений и наводок // 112789

Система активной защиты акустической речевой информации помещения от ее утечки по вибрационному и акустическому каналам // 126542

Техническим результатом является расширение функциональных возможностей по размещению распространяемого контента за счет автоматического распределения контента посредством модулей управления распространяемым контентом

Сетевой фильтр радиопомех с компенсацией емкостных токов утечки // 68209

Установка для создания средств гарантированной защиты передаваемой по радиоканалу информации от неправомерного доступа с помощью специального кодирования (преобразования) информации при открытом хранении параметров кодирования // 124015

Контрольно-проверочный комплекс для проверки электрических преобразователей // 98601

Система защиты помещения и персонального компьютера от несанкционированного доступа и внешних воздействий // 76149

Программно-аппаратный комплекс защиты информации в открытых каналах связи "яломань-пм" // 92735

Система для защиты кадастровой информации // 115943

Схема фильтра сетевого помехоподавляющего со стабилизатором напряжения // 132656

Фильтр сетевой помехоподавляющий (стабилизатор напряжения) относится к электротехнике, его схема может быть использована для подавления помех в проводах сетевого питания зданий, крупных вычислительных центров, больших ЭВМ, других электронных устройств большой мощности.

Устройство защиты радиоэлектронной аппаратуры от превышения напряжения // 108889

Автоматизированное рабочее место обмена закрытой документальной информацией по открытым общегосударственным телефонным линиям связи и высокоскоростным цифровым каналам ("арм "веста-мсвс") // 82352

Устройство обнаружения и защиты от аномальной активности на сети передачи данных // 129279

Техническим результатом является повышение точности построения геолого-гидродинамической модели нефтегазового месторождения

Устройство защиты информации, хранящейся в компьютере и/или на машиночитаемом носителе // 31015

Мобильное устройство защиты информации // 83862