Устройство для обнаружения удаленных компьютерных атак в компьютерной сети военного назначения

Предлагаемая полезная модель относится к области защиты от несанкционированного доступа к ресурсам компьютерной сети военного назначения (далее по тексту - КС ВН), а именно к устройствам, обеспечивающим обнаружение удаленных атак на абонентов компьютерных сетей военного назначения, осуществляемых средствами сетевого соединения, в частности, в глобальных компьютерных сетях, и защиту от подобного рода действий. Целью предлагаемого устройства является обеспечение возможности эффективного обнаружения удаленных атак в компьютерной сети военного назначения, основанных на подмене абонента КС ВН, с уровнем вероятности обнаружения не ниже требуемого. Устройство для обнаружения удаленных компьютерных атак в компьютерной сети военного назначения содержит блок памяти, диспетчер обновления ИНП, блок данных, модуль анализа ТИП, блок оповещения и модуль наблюдения за трафиком сети. Модуль анализа ТИП состоит из: модуля обнаружения компьютерных атак на 1 этапе реализации, модуля обнаружения компьютерных атак на 2 этапе реализации и модуля обнаружения компьютерных атак на 3 этапе реализации. Модуль наблюдения за трафиком сети состоит из блока сбора данных, блока обработки, блока памяти, блока сканирования, базы правил и блок формирования.

Предлагаемая полезная модель относится к области защиты от несанкционированного доступа к ресурсам компьютерной сети военного назначения (далее по тексту - КС ВН), а именно к устройствам, обеспечивающим обнаружение удаленных атак на абонентов компьютерных сетей военного назначения, осуществляемых средствами сетевого соединения, в частности, в глобальных компьютерных сетях, и защиту от подобного рода действий.

Известна система защиты рабочих станций, информационных и функциональных серверов вычислительных систем и сетей с динамическими списками санкционированных событий, включающая блок памяти, содержащий блок функционального программного обеспечения, блок данных, блок хранения контрольных сумм, М блоков хранения списков санкционированных событий, блок формирования текущих контрольных сумм, блок сравнения контрольных сумм, М блоков формирования списков текущих событий, М блоков сравнения списков текущих и санкционированных событий, М блоков выработки команд на прекращение текущего события, блок выработки сигнала сравнения контрольных сумм, М блока корректировки списка санкционированных событий (Пат. 2166792 Российская Федерация, МПК G06F 12/14, G06F 15/16, G06F 11/00. Система защиты рабочих станций, информационных и функциональных серверов вычислительных систем и сетей с динамическими списками санкционированных событий [Текст] / Щеглов Андрей Юрьевич; заявитель и патентообладатель Щеглов Андрей Юрьевич. - 99122295/09; заявл. 25.10.99; опубл. 10.05.01.).

Однако известное устройство на сегодняшний день не удовлетворяет требованиям, предъявляемым к средствам обнаружения компьютерных атак на информационно-телекоммуникационные сети в части обеспечения требуемой вероятности и скорости обнаружения неизвестных типов компьютерных атак.

Анализ качества обнаружения и идентификации компьютерных атак на информационно-телекоммуникационные сети, проведенный на имитационной модели, созданной на основе описания известного устройства показал следующие характеристики:

На основании проведенного имитационного моделирования можно утверждать, что известное устройство на сегодняшний день не удовлетворяет требованиям, предъявляемым к средствам обнаружения компьютерных атак на компьютерные сети военного назначения, определенным в руководящих документах Министерства обороны Российской Федерации, в которых установлены следующие вероятности обнаружения компьютерных атак:

Таблица 2
Требуемые вероятности обнаружения
Характеристика	Значение
Вероятность обнаружения компьютерных атак как известного, так и условно неизвестного типа

Наиболее близким техническим решением к заявляемому и принятым за прототип является устройство для обнаружения и идентификации информационных атак на ресурсы автоматизированных систем военного назначения, содержащее блок памяти, блок данных, модуль анализа текущего индивидуального профиля (ТИП), диспетчер обновления индивидуального нормального профиля (ИНП) и блок оповещения (Пат. 120792 Российская Федерация, МПК G06F 12/14, G06F 15/16, G06F 11/00. Устройство для обнаружения и идентификации информационных атак на ресурсы автоматизированных систем военного назначения [Текст] / Исупов Антон Борисович, Юрков Владимир Александрович, Королев Игорь Дмитриевич; заявитель и патентообладатель Федеральное государственное военное образовательное учреждение высшего профессионального образования «Военная академия связи имени Маршала Советского Союза С.М. Буденного (г.Санкт-Петербург) Министерства обороны Российской Федерации. - 2011140039/08; заявл. 30.09.2011; опубл. 27.09.12.).

Известное устройство в полной мере удовлетворяет требованиям руководящих документов Министерства обороны Российской Федерации в части обеспечения требуемой вероятности обнаружения практически любых типов известных и условно неизвестных компьютерных атак, однако не способно обеспечить требуемый уровень эффективности обнаружения атак, основанных на подмене абонента сети, которая строится на передаче сообщений от обманно присвоенного имени произвольного абонента компьютерной сети военного назначения.

Подмена абонента компьютерной сети военного назначения может обеспечить несанкционированный доступ к ресурсам атакуемого абонента, если подменяемый абонент является для атакуемого доверенным объектом взаимодействия. Атака путем подмены абонента компьютерной сети может осуществляться как во время сеанса сетевого соединения между атакуемым и подменяемым абонентом, так и с помощью посылки запроса атакуемому абоненту на установление соединения от имени подменяемого абонента. Особенность такой атаки состоит в том, что атакующий имеет с атакуемым лишь одностороннюю связь, так как ответы атакуемого адресованы подменяемому абоненту. Поскольку вмешательство подменяемого абонента может помешать достижению целей атаки, подмену абонента компьютерной сети военного назначения обычно сочетают с одновременным проведением атаки, вызывающей отказ в обслуживании подменяемого абонента.

Целью предлагаемого устройства является обеспечение возможности эффективного обнаружения удаленных атак в компьютерной сети военного назначения, основанных на подмене абонента КС ВН, с уровнем вероятности обнаружения не ниже требуемого.

Цель достигается тем, что в предлагаемом устройстве используется модуль наблюдения за трафиком сети (далее по тексту - МНТС).

В известном техническом решении имеются признаки, сходные с признаками заявляемого устройства. Это наличие блока памяти, блока данных, модуля анализа текущего индивидуального профиля (далее по тексту - ТИП), диспетчера обновления индивидуального нормального профиля (далее по тексту - ИНП) и блока оповещения.

В отличие от прототипа в заявляемом устройстве присутствует модуль наблюдения за трафиком сети, обеспечивающий обнаружения атак, основанных на подмене абонента компьютерной сети военного назначения.

В связи с этим заявляемое техническое решение обладает существенными отличиями от известного прототипа. Заявитель не обнаружил аналогичных решений со сходными признаками заявляемого технического решения, в связи с чем заявитель делает вывод, что заявляемое решение обладает существенными отличиями.

В результате проведенного анализа предлагаемое устройство позволяет повысить до требуемого значения вероятность обнаружения компьютерных атак, основанных на подмене абонента КС ВН, за счет использования модуля наблюдения за трафиком сети.

На фиг.1 изображена структурная схема устройства для обнаружения удаленных атак в компьютерной сети военного назначения. На ней показаны блок памяти (1), диспетчер обновления ИНП (2), блок данных (3), модуль анализа ТИП (4), состоящий из модуля обнаружения компьютерных атак на 1 этапе реализации (4.1), модуля обнаружения компьютерных атак на 2 этапе реализации (4.2) и модуля обнаружения компьютерных атак на 3 этапе реализации (4.3), блок оповещения (5) и модуль наблюдения за трафиком сети (6).

На фиг 2. изображена структурная схема модуля наблюдения за трафиком сети. На ней показаны блок сбора данных (6.1), блок обработки (6.2), блок памяти (6.3), блок сканирования (6.4), состоящий из N количества сканеров сеанса, база правил (6.5) и блок формирования (6.6).

Устройство содержит блок памяти, диспетчер обновления ИНП, блок данных, модуль анализа ТИП, блок оповещения и модуль наблюдения за трафиком сети. Модуль анализа ТИП состоит из: модуля обнаружения компьютерных атак на 1 этапе реализации, модуля обнаружения компьютерных атак на 2 этапе реализации и модуля обнаружения компьютерных атак на 3 этапе реализации. Модуль наблюдения за трафиком сети состоит из блока сбора данных, блока обработки, блока памяти, блока сканирования, базы правил и блок формирования.

Устройство работает следующим образом:

Производится первоначальная настройка устройства, при которой в (3) создаются 3 части индивидуального нормального профиля (ИНП) защищаемого объекта КС ВН, а также для (4.1) устанавливается первоначальный порог чувствительности равный величине ₃;

За каждым объектом закрепляется 3 последовательности событий, которые составляют его индивидуальный нормальный профиль:

где - j-е событие первого набора 1-го объекта; n - общее число событий, m - общее число объектов в КС СН;

где - событие второго набора i-го объекта;

где - j-е событие третьего набора i-го объекта;

Каждое событие представляется в виде символов конечного алфавита (N-битовых идентификационных кодов).

После этого, процесс обнаружения компьютерной атаки, инициализированный в заявляемом устройстве, разделяется на два параллельных алгоритма: алгоритм обнаружения компьютерных атак на основе анализа ТИП и алгоритм обнаружения удаленных компьютерных атак, основанных на подмене абонента сети, за счет наблюдения за трафиком сети.

Пояснение работы алгоритма работы устройства при обнаружении компьютерных атак на основе анализа ТИП.

В (4) формируется и анализируется текущий индивидуальный профиль КС ВН.

В (4.1) формируется и анализируется 1 часть текущего индивидуального профиля КС ВН.

В процессе функционирования КС ВН формируется 1 часть текущего индивидуального профиля , которая затем сравнивается с 1 частью индивидуального нормального профиля (1). В случае несовпадения с (1), регистрируется компьютерная атака на КС ВН.

В случае если на основании анализа невозможно принять однозначного решения о наличии или отсутствии факта компьютерной атаки, т.е когда присутствует частичное несовпадение 1 части ИНП и 1 части ТИП, но порог чувствительности не превышен, порог чувствительности понижается до величины ₅, и происходит переход к выполнению следующего этапа алгоритма.

В (4.2) формируется и анализируется на уровне ₅ порога чувствительности 2 часть текущего индивидуального профиля КС ВН.

В процессе функционирования КС ВН формируется 2 часть текущего индивидуального профиля , которая затем сравнивается со 2 частью индивидуального нормального профиля (2). В случае несовпадения с (2), регистрируется компьютерная атака на КС ВН.

В случае если на основании анализа невозможно принять однозначного решения о наличии или отсутствии факта компьютерной атаки, т.е когда присутствует частичное несовпадение 2 части ИНП и 2 части ТИП, но порог чувствительности не превышен, порог чувствительности понижается до величины ₉, и происходит переход к выполнению следующего этапа алгоритма.

В (4.3) формируется и анализируется на уровне ₉ порога чувствительности 3 часть текущего индивидуального профиля КС ВН.

В процессе функционирования КС ВН формируется 3 часть текущего индивидуального профиля , которая затем сравнивается с 3 частью индивидуального нормального профиля (3). В случае любого несовпадения с (3), регистрируется компьютерная атака на КС ВН.

Сравнение частей ИНП и ТИП осуществляется методом простого побитового сравнения.

Параллельно с работой устройства по вышеизложенному алгоритму, инициализируется и осуществляется обнаружение удаленных компьютерных атак на КС ВН, основанных на подмене абонента сети.

Пояснение работы алгоритма работы устройства при обнаружении компьютерных атак, основанных на подмене абонента сети.

В целях обнаружения попыток несанкционированного доступа к ресурсам абонентов компьютерной сети военного назначения модуль наблюдения за трафиком сети (6) заявляемого устройства обеспечивает реконструкцию потоков данных, передаваемых в сеансах сетевых соединений, и последовательное чтение данных, передаваемых в различных сеансах, причем проверке в соответствии с набором правил, выполняемой для выявления попыток несанкционированного доступа к ресурсам абонентов, подвергаются непосредственно сами передаваемые данные.

При поступлении потока данных на блок сбора данных (6.1) происходит сбор данных, не обязательно адресованных модулю наблюдения за трафиком сети, с использованием сетевого драйвера и передача их по запросу в блок обработки (6.2).

Блок обработки (6.2) инициализирует управляющий процесс, направленный на получение данных от сетевого драйвера блока сбора данных (6.1) и передачу полученных данных в блок памяти (6.3) для их хранения в масштабе реального времени для дальнейшей обработки в блоке сканирования (6.4).

В блоке сканирования (6.4) инициализируется процесс сканирования, для которого один из указанного множества файлов записи назначается в качестве получающего файла для чтения данных других файлов из множества файлов записи и для использования указанных данных, чтобы воссоздать множество потоков данных в сеансах сетевых соединений, причем указанные потоки данных в сетевых соединениях обеспечивают последовательную реконструкцию сетевого трафика данных в сеансе сетевого соединения. Данный процесс подчиняется набору правил, хранящихся в базе правил (6.5) которые предназначены для выявления стереотипных данных в сетевом трафике. При обнаружении таких данных блок сканирования (6.4) передает управляющий сигнал на блок формирования (6.6), который в свою очередь обеспечит передачу сигнала на блок оповещения (5) для включения сигнала тревоги, а также на диспетчер обновления ИНП для корректировки индивидуального нормального профиля КС ВН.

Предлагаемое устройство для обнаружения удаленных компьютерных атак в компьютерной сети военного назначения позволяет обеспечить эффективное обнаружения удаленных компьютерных атак в компьютерной сети военного назначения, основанных на подмене абонента КС ВН, с уровнем вероятности обнаружения не ниже требуемого.

Имитационное моделирование предлагаемого устройства для обнаружения удаленных компьютерных атак в компьютерной сети военного назначения показало следующие результаты (табл.3):

Сравнивая значения таблиц 1 и 3 можно сделать однозначный вывод о том, что предлагаемое устройство для обнаружения удаленных компьютерных атак в компьютерной сети военного назначения позволяет обеспечить эффективное обнаружения удаленных компьютерных атак, основанных на подмене абонента КС ВН, с уровнем вероятности обнаружения не ниже требуемого.

Устройство для обнаружения удаленных компьютерных атак в компьютерной сети военного назначения содержащее блок памяти, диспетчер обновления индивидуального нормального профиля (ИНП), блок данных, модуль анализа текущего индивидуального профиля (ТИП) и блок оповещения, отличающееся тем, что в конструкции устройства предложено использовать модуль наблюдения за трафиком сети, входы которого соединены с выходами блока данных, а выходы - с входами блока оповещения и входами диспетчера обновления ИНП.