Устройство защиты сети

Авторы патента:

Предлагаемое устройство защиты сети относится к системам информационной безопасности и может быть использовано для защиты компьютерных сетей и веб-серверов от различных видов атак, таких как сканирование портов, работа сетевых червей и атак на отказ в обслуживании (DDoS атак).

Техническим результатом предлагаемого полезной модели является расширение области применения устройства путем введения дополнительной защиты веб-приложений от специфических атак на сетевом, транспортном и прикладном уровнях стека протоколов ТСР/IР, снижения интенсивности атаки, а также повышение достоверности определения факта атаки.

Достижение указанного технического результат обеспечивается в предлагаемом устройстве защиты сети, содержащим процессор сетевой безопасности, связанный сетевыми интерфейсами с внешней и защищенной сетями, при этом в процессор сетевой безопасности входят связанные двунаправленными шинами блок обнаружения атак, блок разработки сигнатур и блок фильтрации, отличающемся тем, что введен блок активной защиты, связанный соответствующим образом с блоком управления и разработки сигнатур, и выполненный с возможностью анализа заголовков протокола HTTP, интенсивности и скорости запросов этого протокола от клиента к серверу, размера сообщений методов POST и их адекватности для различных случаев использования. 1 с.п. ф-лы и 5 илл.

Практически все известные изобретения связаны с решением в процессе управления системами обеспечения информационной безопасности задач в условиях неопределенности, будь то определение принадлежности некоторого объекта к известному классу объектов или некоторой функции к известному классу функций. Чаще всего в распоряжении лица, управляющего информационной безопасностью, имеется определенный набор действий, характеризуемых той или иной совокупностью параметров, и задача состоит в выборе определенного действия из набора известных с конкретными значениями параметров. Применение методов нечеткой логики должно повысить долю эффективных управленческих решений, т.е. решений, приводящих к уменьшению ущерба от нарушений безопасности информации, (патенты, в которых возможно обучение).

Приведем и рассмотрим наиболее характерные решения.

Известна система централизованных автоматизированных настройки, контроля и анализа безопасности информационных систем (см. 1. патент на изобретение РФ 2390839, М. кл. G01F 21/00, опубл. 27.05.2010 г.), которая предусматривает формирование типовых шаблонов и политик безопасности; выявление противоречий правил политик безопасности; настройку и фиксацию конфигурационных параметров безопасности в соответствии с заданными требованиями безопасности; контроль и анализ выполнения требований безопасности; выявление и описание связанных с конфигурационными параметрами нарушений безопасности; формирование инструкций по их устранению, устранение выявленных нарушений путем настройки конфигурационных параметров безопасности.

Для этого система содержит блок управления конфигурационными параметрами безопасности и центральный блок контроля и анализа безопасности, содержащий модуль управления системой, модуль сетевого взаимодействия и безопасности системы, модуль процессора безопасности и модуль формирования отчетов, при этом в состав блока управления конфигурационными параметрами безопасности дополнительно включены модули, осуществляющие автоматизированную настройку конфигурационных параметров безопасности по заданным составу и значениям конфигурационных параметров безопасности, а также по уровням доступа субъектов к объектам, в совокупность модулей, образующих центральный блок, дополнительно включен модуль, обеспечивающий контроль целостности программного состава системы, идентификацию модулей управления конфигурационными параметрами безопасности и защиту передаваемых данных, в модуле управления системой дополнительно предусмотрено определение типа операционной среды информационной системы и подключение дополнительного модуля описания модели контроля и управления доступом операционной среды, интерактивное взаимодействие с дополнительно введенным модулем редактирования требований безопасности, а также каталогизированное хранение зафиксированных состояний, шаблонов безопасности, политик безопасности и формируемых отчетов; в модуле описания модели контроля и управления доступом операционной среды для соответствующего типа операционной среды дополнительно предусмотрено определение правил расчета уровней доступа субъекта к объекту на основе зафиксированного состояния операционной среды; в модуле процессора безопасности дополнительно предусмотрены функции расчета уровней доступа на множестве конфигурационных параметров безопасности, проверки выполнения условий безопасности системы, заданных в виде критериев из типовых шаблонов и политик безопасности, сопоставления зафиксированных состояний, оценки эффективности администрирования системы, выявления нарушений безопасности и их составов; в модуле формирования отчетов дополнительно предусмотрена возможность осуществления обратной связи через модуль управления и модуль сетевого взаимодействия и безопасности системы с модулями управления конфигурационными параметрами для осуществления настройки конфигурационных параметров безопасности с целью исправления обнаруженных нарушений безопасности.

Однако в данной системе отсутствует возможность ее обучаемости и гибких правил принятия решения.

Известна система анализа информационной безопасности (см. 2. патент на изобретение США 7047423, М. кл.G06Т 15/00, G06F 15/173, опубл. 16.05.2006 г.), которая действует в пассивном режиме и предоставляет методологию, позволяющую выполнять детальный анализ данных, полученных в течение сессии мониторинга. Система содержит средства для сбора информации о характеристиках анализируемой системы, базу данных собранной информации по выбранным категориям, средства для приема собранной информации в целях определения характеристик системы на основании этой информации, устройство визуализации результатов анализа.

В данной системе, как и в предыдущей отсутствует модуль обучения, система защиты и активной ответной реакции.

Известно устройство обнаружения вирусных воздействий на информационные системы (см. 3. патент на полезную модель РФ 83145, М. кл. G06F 12/14, опубл. 20.05.2009 г.). Устройство позволяет обнаруживать удаленные атаки на Web-сервер и содержит блок хранения эталонов известных атак и необходимых коэффициентов, блок приема адресованных абоненту пакетов данных, блок проверки поступающих пакетов данных на соответствие заданным правилам, блок принятия решения, блок идентификации, блок прогнозирования для принятия мер защиты от атаки, вводятся блок формирования исполняемых файлов, блок предварительной обработки, содержащий элементы проверки корректности исполняемого файла, распаковки исполняемого файла, выделения структурных цепочек, блок обучения, содержащий элементы восстановления грамматик и элементы расчета вероятностных характеристик порождающих правил, в блок проверки по заданным правилам введен элемент стохастического структурного анализа.

В данном устройстве не предусмотрены поведенческий анализ действий пользователя и активное ответное воздействие для минимизации атаки.

Известно устройство динамической защиты сети (см.4. патент на изобретение США 7681235, М. кл. G08В 23/00, опубл. 16.03.2010 г.), которое принято за прототип.

Данное устройство обеспечивает измерение характеристик входящего в сеть информационного трафика и анализ характеристик этого трафика с применением, по меньшей мере, одного алгоритма нечеткой логики с целью обнаружения атаки на сеть, а также позволяет осуществлять адаптацию алгоритма нечеткой логики в соответствии с определенными базовыми характеристиками трафика.

Для этого данное устройство содержит сетевой интерфейс, подключенный к процессору сетевой безопасности, в который входят связанные двунаправленными шинами модуль обнаружения атак, модуль разработки сигнатур и модуль фильтрации: - модуль обнаружения атак предназначен для анализа входящего трафика через сетевой интерфейс и обнаружения атак в реальном масштабе времени.

Модуль обнаружения атак использует алгоритмы нечеткой логики в алгоритмах обнаружения атак, где измерение свойств и анализ параметров трафика включают в себя определение степени членства параметров с помощью входных функций принадлежности и включают применение степени принадлежности к выходной функции принадлежности;

- модуль разработки сигнатур предназначен для определения сигнатур и их ранжирования по уровням принадлежности к соответствующей обнаруженной атаке для характеристики пакетов, участвующих в атаке;

- модуль фильтрации предназначен для фильтрации трафика, используя алгоритм фильтрации, который характеризуется первой из сигнатур (имеющий наивысший уровень принадлежности) для обнаруженной атаки.

Процессор сетевой безопасности анализирует отфильтрованный трафик с помощью обратной связи - если фильтрация неэффективна, изменяет ранжирование сигнатур атак с использованием алгоритмов нечеткой логики.

Работа устройства включает два уровня обработки трафика.

На первом уровне оно формирует статистику в режиме реального времени, путем сбора и анализа информации, касающейся трафика: проводит анализ собранных данных для адаптации базовых параметров и обнаружения атак; на основе результатов анализа статистических данных характеризует атаки, и генерирует набор правил, основанных на характеристиках трафика; избирательно фильтрует входящие пакеты на основе сгенерированных правил.

На втором уровне отслеживает все соединения внешней сети с защищенной сетью; производит расчет спектра трафика путем агрегации времени измерений и преобразования их в частотную область; производит защиту от подделки путем проверки IP-адреса источника и, подтвердив подлинность, ретранслирует пакеты, как и требовалось, законным (не поддельным) клиентам; анализирует данные расчета спектра для адаптации базовых параметров и обнаружения атак; избирательно фильтрует входящие пакеты на основе сформированных правил.

Устройство-прототип имеет ограниченную область применения, так как данная двухуровневая схема не позволяет организовать противодействие атакам на веб-приложения и ограничивает признаковое пространство атак, не предусматривает активного ответного воздействия с целью минимизации интенсивности атак, а также не позволяет достоверно определять факт атаки на прикладном уровне.

Техническим результатом предлагаемого полезной модели является расширение области применения устройства путем введения дополнительной защиты веб-приложений от специфических атак на сетевом, транспортном и прикладном уровнях стека протоколов TCP/IP, снижения интенсивности атаки, а также повышение достоверности определения факта атаки.

Указанный технический результат достигается в предлагаемом устройстве защиты сети, содержащем процессор сетевой безопасности, связанный сетевыми интерфейсами с внешней и защищенной сетями, при этом в процессор сетевой безопасности входят связанные двунаправленными шинами блок обнаружения атак, блок разработки сигнатур и блок фильтрации, отличающемся тем, что в процессор сетевой безопасности введен блок активной защиты, при этом соответствующие входные и выходные порты трафика блока фильтрации являются соответственно входными и выходными шинами процессора сетевой безопасности для подключения сетевых интерфейсов, управляющие порты блока обнаружения атак, блока фильтрации и блока активной защиты связаны с соответствующими портами блока управления и разработки сигнатур, который, в свою очередь, связан портами трафика с блоком активной защиты и блоком фильтрации, связанным также портом трафика с блоком обнаружения атак, при этом блок активной защиты выполнен с возможностью анализа заголовков протокола HTTP, интенсивности и скорости запросов этого протокола от клиента к серверу, размера сообщений методов POST и их адекватности для различных случаев использования.

Введение предлагаемых отличий позволяет ввести третий уровень обработки трафика, на котором обеспечивается обнаружение атак на веб-приложения на прикладном уровне. При этом параллельно с алгоритмами фильтрации применяются алгоритмы активной защиты, при помощи которых производится проверка подлинности клиентов и имитация сервера для поддельных клиентов, а также при разработке сигнатур осуществляется анализ: заголовков HTTP (User-Agent, Content-Type, Content-Length), интенсивности HTTP запросов, скорости передачи HTTP запросов от клиента к серверу, размера сообщений методов POST и их адекватность для различных случаев использования.

Кроме того, для адаптации алгоритмов обнаружения атак к изменяющимся характеристикам трафика применяется нейро-нечеткая система (TSK Такаги-Сугено-Канга), а в качестве входных и выходных функций принадлежности алгоритмов нечеткой логики применяются гауссовы функции принадлежности.

Таким образом, предлагаемые отличия обеспечивают достижение указанного технического результата.

Сущность полезной модели поясняется следующими фигурами: На фиг.1 изображен общий принцип работы системы, на фиг.2-4 приведены функциональные схемы обработки трафика на первом, втором и третьем уровнях соответственно, на фиг.5 приведена структурная схема предлагаемого устройства.

Согласно фиг.1 трафик из внешней сети поступает на 1-ый уровень, на котором отсеиваются массовые UDP и ICMP атаки. Далее на 2-м уровне происходит фильтрация атак на соединение, после которой следует 3-ий уровень защиты от атак на веб-приложения. После всех фильтраций трафик поступает в защищенную сеть.

Согласно фиг.2 на первом уровне формируется статистика в режиме реального времени, путем сбора и анализа информации, касающейся трафика; проводят анализ собранных данных с применением адаптивной нейро-нечеткой сети, для адаптации базовых параметров и обнаружения атак; на основе результатов анализа статистических данных характеризуют атаки, и генерируют набор правил, основанных на характеристиках трафика; избирательно фильтруют входящие пакеты на основе сгенерированных правил.

На втором уровне (фиг.3) отслеживают все соединения внешней сети с защищенной сетью; производят расчет спектра трафика путем агрегации времени измерений и преобразования их в частотную область; производят защиту от подделки путем проверки IР-адреса источника и, подтвердив подлинность, ретранслируют пакеты, как и требовалось, законным (не поддельным) клиентам; анализируют данные расчета спектра с применением адаптивной нейро-нечеткой системы для адаптации базовых параметров и обнаружения атак; избирательно фильтруют входящие пакеты на основе сформированных правил.

На третьем уровне (фиг.4) производят проверку подлинности клиентов и имитируют сервер для поддельных клиентов; формируют профили поведения в режиме реального времени, путем сбора и анализа информации, касающейся трафика; проводят анализ собранных данных с применением адаптивной нейро-нечеткой сети для адаптации базовых характеристик поведения и обнаружения атак; на основе результатов анализа генерируют набор правил, основанных на характеристиках трафика; избирательно фильтруют входящие пакеты на основе сгенерированных правил.

Таким образом, предлагаемое устройство защиты сети имеет следующие отличия:

1. Анализ и фильтрация трафика производится на трех уровнях, которые примерно соответствуют верхним уровням стека протоколов ТСР/IP (сетевому, транспортному и прикладному).

Первый уровень. Защита от массовых UDP и ICMP атак (flood).

Второй уровень. Защита от атак на соединение (SYN flood).

Третий уровень. Защита от атак на веб-приложения («HTTP: GET/» и т.д.).

На каждом уровне анализ производится с применением адаптивной нейро-нечеткой системы (TSK Такаги-Сугено-Канга).

2. Применяется поведенческий анализ трафика, как эффективное средство противодействия атакам на веб-приложения, в т.ч. использующим технологию WebSockets (HTML 5). Т.к. целью данных атак является нарушение логики работы и переполнение ресурсов приложения, а не аппаратного обеспечения (как на первом и втором уровнях).

3. Также, в отличие от аналогов, используется ряд методов активного взаимодействия с атакующими хостами, позволяющих значительно снижать эффективность DDoS атак, а именно:

- Запрос/Ответ - проверки для различных протоколов, чтобы вычислить клиентов без реального стека протоколов. Пример: JavaScript с инструкцией браузеру установить куки (cookie) и перезагрузить страницу.

- Срыв сессии (HTTP: GET/) - игнорирование запросов от клиента, в то время как соединение с сервером полностью разорвано. (Клиент думает, что сервер не отвечает и продолжает слать запросы впустую).

- Удержание мнимой сессии - для защиты от атак на соединение (логику и алгоритм работы протокола).

Предлагаемое устройство защиты сети (фиг.5) включает в себя: процессор 1 сетевой безопасности, в который входят блок 2 обнаружения атак, блок 3 фильтрации, блок 4 управления и разработки сигнатур и блок 5 активной защиты, при этом процессор 1 сетевой безопасности соединен с внешней и защищенной сетями сетевыми интерфейсами, причем соответствующие входные и выходные порты трафика блока 3 фильтрации являются соответственно входными и выходными шинами процессора 1 сетевой безопасности для подключения сетевых интерфейсов, управляющие порты блока 2 обнаружения атак, блока 3 фильтрации и блока 5 активной защиты связаны с соответствующими портами блока 4 управления и разработки сигнатур, который, в свою очередь, связан портами трафика с блоком 5 активной защиты и блоком 3 фильтрации, связанным также портом трафика с блоком 2 обнаружения атак.

Как описано выше, предлагаемое устройство защиты сети подразумевает анализ и фильтрацию трафика на трех уровнях, соответствующих верхним уровням стека протоколов ТСР/IP. Таким образом, процессор 1 сетевой безопасности обрабатывает трафик в три этапа.

Принцип работы устройства осуществляется следующим образом.

При поступлении трафика из внешней сети осуществляется первый этап его обработки, при котором блок 2 обнаружения атак выполняет сбор статистики по параметрам, характерным для массовых UDP и ICMP атак, а блоком 4 управления и разработки сигнатур выполняется анализ данной статистики и генерация правил фильтрации. Далее на втором этапе обработки отфильтрованного трафика блоком 4 управления и разработки сигнатур выполняются расчет и анализ спектра, а также генерация правил фильтрации, а блок 2 обнаружения атак выполняет функции анализа соединений и защиты от подделки. На третьем этапе обработки трафика блок 2 обнаружения атак выполняет формирование профилей поведения, блок 4 управления и разработки сигнатур выполняет анализ сформированных профилей и генерацию правил фильтрации, а блок 5 активной защиты производит проверку клиентов и имитацию сервера для поддельных клиентов. Блок 3 фильтрации выполняет функции фильтрации на всех этапах. Прошедший фильтрацию трафик, попадает в защищенную сеть.

Система может быть реализована как отдельное устройство, или как часть маршрутизатора, или межсетевого экрана. Блок 3 фильтрации может быть выполнен на сетевом процессоре серии EZchip NP, в качестве блока 2 обнаружения атак могут использоваться контекстные процессоры серии NetLogic Ayama для предварительного анализа и серии NETL7 для глубокого анализа. Блок 4 управления и разработки сигнатур совместно с блоком 5 активной защиты может быть выполнен на коммуникационном процессоре семейства Freescale QorlQ.

Возможность реализации сформулированного технического результата была проверена путем создания макета программно-аппаратного комплекса и проведения натурного эксперимента с целью оценки достоверности обнаружения атаки предложенным устройством и способом-прототипом.

В качестве параметров трафика для настройки правил фильтрации и обучения нейро-нечеткой системы были использованы перечисленные ниже параметры. На первом уровне процент пакетов определенного протокола (TCP, UDP и т.д.) в общем трафике, интенсивность пакетов определенного протокола (количество пакетов в секунду), длина пакета; на втором уровне процент распределения TCP флагов, интенсивность SYN запросов; на третьем уровне процент распределения заголовков HTTP content-type, интенсивность HTTP запросов, скорость передачи HTTP запроса от клиента к серверу, размер сообщения метода POST (его адекватность для различных случаев). В качестве параметров и реакций модуля активной защиты были использованы: проверочные запросы для различных протоколов с целью валидации стека протоколов, срыв HTTP сессии, удержание мнимой TCP сессии.

В результате эксперимента было выявлено, что заявленное устройство защиты сети, в отличие от прототипа, обладает возможностью детектировать атаки на вебприложения и предотвращать переполнение ресурсов приложения, а также снижать интенсивность подобных атак.

Дополнительными положительными свойствами является повышение чувствительности (возможность определить атаку на ранней стадии), а также точности (количество ложноположительных и ложноотрицательных срабатываний) как результат применения адаптивной нейро-нечеткой системы.

Устройство защиты сети, содержащее процессор сетевой безопасности, связанный сетевыми интерфейсами с внешней и защищенной сетями, при этом в процессор сетевой безопасности входят связанные двунаправленными шинами блок обнаружения атак, блок разработки сигнатур и блок фильтрации, отличающееся тем, что в процессор сетевой безопасности введен блок активной защиты, причем соответствующие входные и выходные порты трафика блока фильтрации являются соответственно входными и выходными шинами процессора сетевой безопасности для подключения сетевых интерфейсов, управляющие порты блока обнаружения атак, блока фильтрации и блока активной защиты связаны с соответствующими портами блока управления и разработки сигнатур, который, в свою очередь, связан портами трафика с блоком активной защиты и блоком фильтрации, связанным также портом трафика с блоком обнаружения атак, при этом блок активной защиты выполнен с возможностью анализа заголовков протокола HTTP, интенсивности и скорости запросов этого протокола от клиента к серверу, размера сообщений методов POST и их адекватности для различных случаев использования.

Телемеханическая система контроля и управления станциями катодной защиты // 101545

Система защиты помещения от несанкционированного перехвата акустической речевой информации (варианты) // 41944

Сетевой фильтр // 81858

Устройство обнаружения и защиты от аномальной активности на сети передачи данных // 129279

Техническим результатом является повышение точности построения геолого-гидродинамической модели нефтегазового месторождения

Система определения показателя эффективности управления безопасностью для оптимизации настройки безопасности операционных систем // 101300

Бортовой комплекс для систем сопровождения и управления наземными транспортными средствами // 109945

Устройство защиты вычислительных сетей и систем от компьютерных атак // 113041

Система фиксации нарушений скоростного режима транспортным средством // 110856

Система обеспечения информационной безопасности грид-сети при распределении ресурсов между различными пользователями // 128745

Съемный носитель информации на основе энерго-независимой памяти с расширенным набором функций информационной безопасности персональных данных // 130441

Централизованная защита сети электроснабжения // 76753

Система формирования правил политик безопасности, реализующих модели безопасности на основе состояний информационных систем // 105486

Диспетчерская информационно-аналитическая система // 123554

Система активной защиты акустической речевой информации помещения от ее утечки по вибрационному и акустическому каналам // 126542

Техническим результатом является расширение функциональных возможностей по размещению распространяемого контента за счет автоматического распределения контента посредством модулей управления распространяемым контентом

Устройство для испытаний цифровых терминалов релейной защиты и автоматики // 118117

Устройство для настройки и проверки аппаратуры тепловой защиты электрических машин // 89719

Устройство для моделирования процесса разработки открытых информационных систем // 83150

Интеллектуальная система диагностики заболеваний новорожденных от инфицированных матерей // 108675

Компьютер для запуска тонкого гипервизора в uefi на ранней стадии загрузки компьютера // 129675

Система мониторинга состояния объектов // 129284