Устройство для обнаружения и идентификации информационных атак на ресурсы автоматизированных систем военного назначения

Авторы патента:

Предлагаемая полезная модель относиться к области вычислительной технике, а именно к информационным вычислительным системам и сетям, и может быть использована для реализации эффективного процесса обнаружения и идентификации информационных атак на ресурсы автоматизированных систем военного назначения (АС ВН). Целью предлагаемого устройства является повышение эффективности процесса обнаружения и идентификации информационных атак на ресурсы АС ВН за счет создания и контроля текущих индивидуальных профилей (ТИП) объектов АС ВН. Устройство для обнаружения и идентификации информационных атак на ресурсы автоматизированных систем военного назначения содержит блок памяти (1), диспетчер обновления индивидуальных нормальных профилей (2), блок данных (3), модуль анализа текущих индивидуальных профилей (4), состоящий из модуля обнаружения информационных атак на 1 этапе реализации (4.1), модуля обнаружения информационных атак на 2 этапе реализации (4.2) и модуля обнаружения информационных атак на 3 этапе реализации (4.3), а также блок оповещения (5).

Наиболее близким техническим решением к заявляемому и принятым за прототип является система защиты рабочих станций, информационных и функциональных серверов вычислительных систем и сетей с динамическими списками санкционированных событий, включающая блок памяти, содержащий блок функционального программного обеспечения, блок данных, блок хранения контрольных сумм, М блоков хранения списков санкционированных событий, блок формирования текущих контрольных сумм, блок сравнения контрольных сумм, М блоков формирования списков текущих событий, М блоков сравнения списков текущих и санкционированных событий, М блоков выработки команд на прекращение текущего события, блок выработки сигнала сравнения контрольных сумм, М блока корректировки списка санкционированных событий (Пат. 2166792 Российская Федерация, МПК G06F 12/14, G06F 15/16, G06F 11/00. Система защиты рабочих станций, информационных и функциональных серверов вычислительных систем и сетей с динамическими списками санкционированных событий [Текст] / Щеглов Андрей Юрьевич; заявитель и патентообладатель Щеглов Андрей Юрьевич. - 99122295/09; заявл. 25.10.99; опубл. 10.05.01.)

Однако известное устройство на сегодняшний день не в полной мере удовлетворяет требованиям, предъявляемым к средствам обнаружения информационных атак на ресурсы AC BH в части обеспечения требуемой вероятности обнаружения неизвестных типов информационных атак.

Анализ эффективности процесса обнаружения и идентификации информационных атак на ресурсы AC BH, проведенный на имитационной модели, созданной на основе описания устройства-прототипа показал следующие характеристики:

Характеристика	Значение
Вероятность выявления известных типов информационных атак ()	0,95
Вероятность выявления неизвестных типов информационных атак ()	0,12
Количество ошибок первого рода (чужой как свой)	62%
Количество ошибок 2 рода (свой как чужой)	18%
Уровень загрузки аппаратных ресурсов	39%

На основании проведенного имитационного моделирования можно утверждать, что известное устройство на сегодняшний день не удовлетворяет требованиям, предъявляемым к средствам обнаружения и идентификации информационных атак на ресурсы AC BH, определенным в руководящих документах Министерства обороны Российской Федерации, в которых установлены следующие вероятности обнаружения информационных атак:

Характеристика	Значение
Вероятность выявления известных типов информационных атак ()
Вероятность выявления неизвестных типов информационных атак ()

Целью предлагаемого устройства является повышение эффективности процесса обнаружения и идентификации информационных атак на ресурсы AC BH за счет создания и контроля текущих индивидуальных профилей (ТИП) объектов АС BH.

Цель достигается тем, что в предлагаемом устройстве используются диспетчер обновления индивидуальных нормальных профилей (ИНП), модуль оповещения и модуль анализа ТИП.

В известном техническом решении имеются признаки, сходные с признаками заявляемого устройства. Это наличие блока памяти и блока данных.

В отличие от прототипа в заявляемом устройстве присутствуют: модуль анализа ТИП, обеспечивающий обнаружение и идентификацию информационных атак на ресурсы AC BH применительно к 3 этапам ее реализации; модуль оповещения, предназначенный для генерации отчета о регистрации факта информационной атаки; диспетчер обновления ИНП, обеспечивающий создание ИНП и их динамическую адаптацию применительно к текущим задачам АС BH.

В связи с этим заявляемое техническое решение обладает существенными отличиями от известного прототипа. Заявитель не обнаружил аналогичных решений со сходными признаками заявляемого технического решения, в связи с чем заявитель делает вывод, что заявляемое решение обладает существенными отличиями.

В результате проведенного анализа предлагаемое устройство позволяет повысить до требуемой величины эффективность процесса обнаружения и идентификации информационных атак на ресурсы AC BH за счет создания и анализа ТИП объектов АС BH.

На фиг.1 изображена структурная схема системы обнаружения и идентификации информационных атак на ресурсы автоматизированных систем военного назначения. На ней показаны блок памяти (1), диспетчер обновления ИНП (2), блок данных (3), модуль анализа ТИП (4), состоящий из модуля обнаружения атак на 1 этапе реализации (4.1), модуля обнаружения атак на 2 этапе реализации (4.2) и модуля обнаружения атак на 3 этапе реализации (4.3) и блок оповещения (5).

Устройство содержит блок памяти, диспетчер обновления ИНП, блок данных, модуль анализа ТИП и блок оповещения. Модуль анализа ТИП состоит из: модуля обнаружения атак на 1 этапе реализации, модуля обнаружения атак на 2 этапе реализации и модуля обнаружения атак на 3 этапе реализации.

Устройство работает следующим образом:

1. Производится первоначальная настройка системы, при которой в (1) создаются индивидуальные нормальные профили (ИНП) процессов и объектов AC BH, а также для (4.1) устанавливается порог чувствительности равный величине ₃;

За каждым процессом или объектом закрепляется набор характеристик, которые составляют его индивидуальный нормальный профиль:

где _i1 - j-я характеристика i-го объекта; n - общее число характеристик, m - общее число объектов в АС BH.

2. В (4.1) анализируются характеристики AC BH, указывающие на проведение 1 этапа информационной атаки на ресурсы АС BH.

В процессе функционирования AC BH анализируемые характеристики , которые составляют 1 часть ТИП АС BH, полученные из (3),

изменение которых указывает на 1 этап информационной атаки, сравниваются с характеристиками индивидуального нормального профиля объекта, хранящимися в (1). В случае несовпадения характеристик с , , регистрируется информационная атака на ресурсы AC BH и данные об обнаруженной информационной атаке передаются в (5). В случае если на основании анализа система не может принять однозначного решения о наличии или отсутствии факта информационной атаки, она автоматически понижает порог чувствительности в (4.2) до величины ₅, передает данные из (4.1) в виде предупреждения в (4.2) и переходит к выполнению п.3 алгоритма.

3. В (4.2) анализируются характеристики AC BH, указывающие на проведение 2 этапа информационной атаки на ресурсы АС BH.

В процессе функционирования AC BH анализируемые характеристики , которые составляют 2 часть ТИП АС BH, полученные из (3), изменение которых указывает на 2 этап информационной атаки, сравниваются с характеристиками индивидуального нормального профиля объекта, хранящимися в (1). В случае несовпадения характеристик с , , регистрируется информационная атака на ресурсы AC BH и данные об обнаруженной информационной атаке передаются в (5). В случае если на основании анализа система не может принять однозначного решения о наличии или отсутствии факта информационной атаки, она максимально допустимо понижает порог чувствительности в (4.3) до величины ₉, передает данные из (4.2) в виде предупреждения в (4.3) и переходит к выполнению п.4 алгоритма.

4. В (4.3) анализируются характеристики AC BH, указывающие на проведение 3 этапа информационной атаки на ресурсы АС BH.

В процессе функционирования AC BH анализируемые характеристики , которые составляют 3 часть ТИП АС BH, полученные из (3), изменение которых указывает на 3 этап информационной атаки, сравниваются с характеристиками индивидуального нормального профиля объекта, хранящимися в (1). В случае несовпадения характеристик с , , регистрируется информационная атака на ресурсы AC BH и данные об обнаруженной информационной атаке передаются в (5).

В случае изменения условий функционирования AC BH в (2) производится подстройка индивидуальных нормальных профилей объектов AC BH для поддержания их актуального состояния.

Имитационное моделирование предлагаемого устройства для обнаружения и идентификации информационных атак на ресурсы автоматизированных систем военного назначения показало следующие результаты:

Характеристика	Значение
Вероятность выявления известных типов информационных атак ()	0,99
Вероятность выявления неизвестных типов информационных атак ()	0,95
Количество ошибок первого рода (чужой как свой)	4%
Количество ошибок 2 рода (свой как чужой)	1%
Уровень загрузки аппаратных ресурсов	40%

Предлагаемое устройство для обнаружения и идентификации информационных атак на ресурсы автоматизированных систем военного назначения обладает следующими преимуществами:

1. Повышается до требуемого уровня вероятность обнаружения и идентификации информационных атак на ресурсы AC BH за счет создания трех уровней обнаружения с различными порогами чувствительности;

2. Уменьшается количество ошибок 1 и 2 рода за счет подтверждения данных следующего этапа анализа, данными предыдущего этапа анализа;

Источники информации:

1. Пат. 2166792 Российская Федерация, МПК G06F 12/14, G06F 15/16, G06F 11/00. Система защиты рабочих станций, информационных и функциональных серверов вычислительных систем и сетей с динамическими списками санкционированных событий [Текст] / Щеглов Андрей Юрьевич; заявитель и патентообладатель Щеглов Андрей Юрьевич. - 99122295/09; заявл. 25.10.99; опубл. 10.05.01.

Устройство для обнаружения и идентификации информационных атак на ресурсы автоматизированных систем военного назначения, содержащее блок памяти и блок данных, отличающееся тем, что в конструкции устройства для создания индивидуальных нормальных профилей (ИНП) и текущих индивидуальных профилей (ТИП) и их анализа в автоматическом режиме предложено использовать диспетчер обновления ИНП, соединенный с входами блока памяти; модуль анализа ТИП, входы которого соединены с выходами блока памяти и выходами блока данных; блок оповещения, входы которого соединены с соответствующими выходами модуля анализа ТИП.

Комплексная система технической защиты трубопроводов от несанкционированного доступа и локализации мест утечки транспортируемого продукта // 59200

Абонентский комплекс для транспортно-заряжающей машины // 111373

Устройство защиты вычислительных сетей и систем от компьютерных атак // 113041

Аппаратно-программный комплекс автоматизированной системы управления производством // 54686

Выносное информационное табло для измерительных приборов с защитой от несанкционированного доступа // 135118

Портативный накопитель информации с функцией защиты данных от несанкционированного доступа // 108167

Система обеспечения информационной безопасности грид-сети при распределении ресурсов между различными пользователями // 128745

Система защиты информации, передаваемой по каналам сетей связи, и сетевой прибор криптографической обработки информации // 86827

Система формирования правил политик безопасности, реализующих модели безопасности на основе состояний информационных систем // 105486

Съемный носитель информации на основе энерго-независимой памяти с расширенным набором функций информационной безопасности персональных данных // 130441

Система дистанционного мониторинга парка грузоподъемных машин // 112178

Автоматизированная информационная система идентификации и аутентификации пользователей // 106409

Система вибрационного мониторинга и диагностики технического состояния технологического оборудования // 114750

Карманный компьютер // 124005

Информационное устройство // 75090

Прибор охранно-пожарной сигнализации // 66579

Устройство для измерения профилей сечений длинномерных объектов с криволинейными поверхностями // 92530

Автоматизированная система "монитор руководителя" информационной и аналитической поддержки принятия решений в сфере авиаперевозок // 133632

Полезная модель относится к области информационно-аналитических систем, предназначенных для сбора, обработки, анализа, структурирования и визуализации информации из разнородных источников

Система определения показателя эффективности управления безопасностью для оптимизации настройки безопасности операционных систем // 101300

Информационная система мониторинга информационного развития региона // 118777