Устройство для обнаружения компьютерных атак на информационно-телекоммуникационные сети военного назначения

Авторы патента:

G06F21/50 - Обработка цифровых данных с помощью электрических устройств (вычислительные машины, в которых часть вычислений осуществляется гидравлическими или пневматическими устройствами G06D; оптическими средствами G06E; автономные внешние вводные и выводные устройства G06K; компьютерные системы, основанные на специфических вычислительных моделях G06N; цепи полного /активного и реактивного/ сопротивления H03H)

Предлагаемая полезная модель относиться к области вычислительной технике, а именно к информационным вычислительным системам и сетям, и может быть использована для реализации высокоэффективного процесса обнаружения и идентификации компьютерных атак на информационно-телекоммуникационные сети военного назначения. Целью предлагаемого устройства является обеспечение возможности обнаружения компьютерных атак на информационно-телекоммуникационные сети военного назначения в реальном масштабе времени за счет создания системы интеллектуального самообучения. Устройство для обнаружения компьютерных атак на информационно-телекоммуникационные сети военного назначения содержит блок памяти (1), диспетчер обновления индивидуального нормального профиля (2), блок данных (3), модуль анализа текущего индивидуального профиля (4), состоящий из модуля обнаружения компьютерных атак на 1 этапе реализации (4.1), модуля обнаружения компьютерных атак на 2 этапе реализации (4.2) и модуля обнаружения компьютерных атак на 3 этапе реализации (4.3), блок оповещения (5) и модуля интеллектуального самообучения (6), состоящего из блока формирования базы детекторов (6.1) и блока формирования шаблонов текущей активности (6.2).

Предлагаемая полезная модель относиться к области вычислительной техники, а именно к информационным вычислительным системам и сетям, и может быть использована для реализации высокоэффективного процесса обнаружения и идентификации компьютерных атак на информационно-телекоммуникационные сети военного назначения.

Известна система защиты рабочих станций, информационных и функциональных серверов вычислительных систем и сетей с динамическими списками санкционированных событий, включающая блок памяти, содержащий блок функционального программного обеспечения, блок данных, блок хранения контрольных сумм, M блоков хранения списков санкционированных событий, блок формирования текущих контрольных сумм, блок сравнения контрольных сумм, M блоков формирования списков текущих событий, M блоков сравнения списков текущих и санкционированных событий, M блоков выработки команд на прекращение текущего события, блок выработки сигнала сравнения контрольных сумм, M блока корректировки списка санкционированных событий (Пат. 2166792 Российская Федерация, МПК G06F 12/14, G06F 15/16, G06F 11/00. Система защиты рабочих станций, информационных и функциональных серверов вычислительных систем и сетей с динамическими списками санкционированных событий [Текст] / Щеглов Андрей Юрьевич; заявитель и патентообладатель Щеглов Андрей Юрьевич. - 99122295/09; заявл. 25.10.99; опубл. 10.05.01.).

Однако известное устройство на сегодняшний день не удовлетворяет требованиям, предъявляемым к средствам обнаружения компьютерных атак на информационно-телекоммуникационные сети в части обеспечения требуемой вероятности и скорости обнаружения неизвестных типов компьютерных атак.

Анализ качества обнаружения и идентификации компьютерных атак на информационно-телекоммуникационные сети, проведенный на имитационной модели, созданной на основе описания известного устройства показал следующие характеристики:

Характеристика	Значение
Вероятность обнаружения известных типов компьютерных атак ()	0,95
Вероятность обнаружения неизвестных типов компьютерных атак ()	0,12
Количество ошибок первого рода (чужой как свой)	62%
Количество ошибок 2 рода (свой как чужой)	18%
Уровень загрузки аппаратных ресурсов	39%

На основании проведенного имитационного моделирования можно утверждать, что известное устройство на сегодняшний день не удовлетворяет требованиям, предъявляемым к средствам обнаружения и идентификации компьютерных атак на информационно-телекоммуникационные сети военного назначения, определенным в руководящих документах Министерства обороны Российской Федерации, в которых установлены следующие вероятности обнаружения компьютерных атак:

Характеристика	Значение
Вероятность обнаружения известных типов компьютерных атак ()	>0,95
Вероятность обнаружения неизвестных типов информационных атак ()	>0,95

Наиболее близким техническим решением к заявляемому и принятым за прототип является устройство для обнаружения и идентификации информационных атак на ресурсы автоматизированных систем военного назначения, содержащее блок памяти, блок данных, модуль анализа текущего индивидуального профиля (ТИП), диспетчер обновления индивидуального нормального профиля (ИНП) и блок оповещения (Пат. 120792 Российская Федерация, МПК G06F 12/14, G06F 15/16, G06F 11/00. Устройство для обнаружения и идентификации информационных атак на ресурсы автоматизированных систем военного назначения [Текст] / Исупов Антон Борисович, Юрков Владимир Александрович, Королев Игорь Дмитриевич; заявитель и патентообладатель Федеральное государственное военное образовательное учреждение высшего профессионального образования «Военная академия связи имени Маршала Советского Союза С.М. Буденного (г. Санкт-Петербург) Министерства обороны Российской Федерации. - 2011140039/08; заявл. 30.09.2011; опубл. 27.09.12.).

Известное устройство в полной мере удовлетворяет требованиям руководящих документов Министерства обороны Российской Федерации в части обеспечения требуемой вероятности обнаружения как известных, так и неизвестных типов компьютерных атак, однако не способно обнаруживать компьютерные атаки на информационно-телекоммуникационные сети военного назначения в реальном масштабе времени, что резко снижает устойчивость функционирования информационно-телекоммуникационных сетей военного назначения в условиях информационного противоборства.

Целью предлагаемого устройства является обеспечение возможности обнаружения компьютерных атак на информационно-телекоммуникационные сети военного назначения в реальном масштабе времени за счет создания системы интеллектуального самообучения.

Цель достигается тем, что в предлагаемом устройстве используется модуль интеллектуального самообучения, состоящий из блока формирования базы детекторов и блока формирования шаблонов текущей активности.

В известном техническом решении имеются признаки, сходные с признаками заявляемого устройства. Это наличие блока памяти, блока данных, модуля анализа текущего индивидуального профиля (ТИП), диспетчера обновления индивидуального нормального профиля (ИНП) и блока оповещения.

В отличие от прототипа в заявляемом устройстве присутствует: модуль интеллектуального самообучения, состоящий из блока формирования базы детекторов и блока формирования шаблонов текущей активности, обеспечивающий создание, на основе механизмов искусственной иммунной системы, в автономном режиме, базы детекторов и шаблонов текущей активности, способных в масштабе реального времени обнаруживать как известные, так и неизвестные компьютерные атаки на информационно-телекоммуникационные сети военного назначения в условиях информационного противоборства.

В связи с этим заявляемое техническое решение обладает существенными отличиями от известного прототипа. Заявитель не обнаружил аналогичных решений со сходными признаками заявляемого технического решения, в связи с чем заявитель делает вывод, что заявляемое решение обладает существенными отличиями.

В результате проведенного имитационного моделирования и анализа предлагаемое устройство позволяет обеспечить обнаружение как известных, так и неизвестных типов компьютерных атак на информационно-телекоммуникационные сети военного назначения в условиях информационного противоборства в реальном масштабе времени.

На фиг.1 изображена структурная схема устройства для обнаружения компьютерных атак на информационно-телекоммуникационные сети военного назначения. На ней показаны блок памяти (1), диспетчер обновления ИНП (2), блок данных (3), модуль анализа ТИП (4), состоящий из модуля обнаружения атак на 1 этапе реализации (4.1), модуля обнаружения атак на 2 этапе реализации (4.2) и модуля обнаружения атак на 3 этапе реализации (4.3), блок оповещения (5) и модуль интеллектуального самообучения (6), состоящий из блока формирования базы детекторов (6.1) и блока формирования шаблонов текущей активности (6.2).

Устройство содержит блок памяти, диспетчер обновления ИНП, блок данных, модуль анализа ТИП, блок оповещения и модуль интеллектуального самообучения. Модуль анализа ТИП состоит из модуля обнаружения атак на 1 этапе реализации, модуля обнаружения атак на 2 этапе реализации и модуля обнаружения атак на 3 этапе реализации. Модуль интеллектуального самообучения состоит из блока формирования базы детекторов и блока формирования шаблонов текущей активности.

Устройство работает следующим образом:

1. Производится первоначальная настройка устройства, при которой создаются 3 части индивидуального нормального профиля (ИНП) защищаемого объекта ИТС ВН, а также для (4.1) устанавливается первоначальный порог чувствительности равный величине ₃;

За каждым защищаемым объектом закрепляется 3 набора событий, которые составляют его индивидуальный нормальный профиль:

где x_ij - j-й. процесс i-го объекта; n - общее число процессов, m - общее число объектов в ИТС ВН.

2. Далее в блоке формирования базы детекторов (6.1) модуля интеллектуального самообучения (6) из каждого набора процессов происходит создание шаблонов нормальной активности по следующему алгоритму:

Этап 1. Выбранный набор представляется в виде ряда дискретных элементов, составленных из букв конечного алфавита (32-битных идентификационных кодов, присваевымых каждому произошедшему на защищаемом объекте событию (одинаковые события имеют одинаковые идентификационные коды);

Этап 2. Выбирается размер окна l, определяющего длину нормального шаблона активности;

Этап 3. Окно движется вдоль ряда данных с шагом смещения, определяемым параметром Q;

Размер окна l и шаг смещения Q выбирается таким образом, чтобы обеспечить требуемый порог чувствительности на каждом этапе работы устройства.

Этап 4. Выделенные данные сохраняются в базе как шаблоны нормальной активности.

3. Далее в (6.1) происходит непосредственное формирование базы детекторов.

На первом этапе формирования, в качестве пре-детекторов используются шаблоны нормальной активности 1 части индивидуального нормального профиля защищаемого объекта ИТС ВН. В последующем, генерация детекторов происходит с применением репродуктивного плана Холланда (РПХ).

Основными понятиями репродуктивного плана Холланда являются:

- ген - атомарный элемент хромосомы;

- аллель - значение конкретного гена;

- локус - позиция гена в хромосоме;

- хромосома - упорядоченная последовательность генов;

- популяция - конечное множество хромосом.

При использовании репродуктивного плана Холланда для создания базы детекторов компьютерных атак, можно совместить понятия хромосома и детектор, популяция и набор детекторов, ген и 32-битный идентификационный код.

Каждый новый набор кандидатов в детекторы S_L выбирается из полученных хромосом при очередной итерации РПХ.

Каждая итерация РПХ состоит из следующих этапов:

Этап 1. Инициализация.

На этапе инициализации вводится точка отсчета эпох t₀ =0, случайным образом инициализируется M генотипов и формируется начальная популяция . В качестве начальной популяции при первой итерации РПХ используются шаблоны нормальной активности 1 части ИНП защищаемого объекта ИТС ВН, а при дальнейших итерациях в качестве начальной популяции используются хромосомы, полученные при предыдущей итерации репродуктивного плана Холланда.

Этап 2. Оценка приспособленности хромосом в популяции.

Оценка приспособленности хромосом состоит в расчете функции приспособленности F_pr для каждой хромосомы популяции :

где r - максимальное количество генов в хромосоме, совпавших с генами одной из исходных хромосом; l - длина хромосомы и средней приспособленности по популяции:

Этап 3. Проверка условия остановки РПХ.

Условием остановки РПХ является получение популяции хромосом N_R, каждая из которых не совпадает ни с одной из хромосом множества имеющихся кандидатов в детекторы S_L.

В случае если условие окончания работы РПХ выполняется, текущая популяция хромосом N_R добавляется к набору кандидатов в детекторы S_L, в противном случае происходит переход на следующий этап РПХ.

Этап 4. Селекция хромосом.

Селекция хромосом заключается в выборе тех хромосом, которые будут участвовать в создании потомков для следующей популяции. Этот выбор происходит в соответствии с принципами естественного отбора, когда наибольшие шансы быть выбранными в родителя имеют хромосомы, с наибольшими значениями функции приспособленности.

Для выбора родительских пар хромосом используется метод Монте-Карло. Каждой хромосоме X₁, X₂, , X_n, n=1, 2, , N (где N - численность популяции) соответствует сектор колеса рулетки V_Xn - выраженный в процентах:

где

Здесь F_pr(X_n) - значение функции приспособленности хромосомы X_n; p(X_n) - вероятность селекции хромосомы X_n . Чем больше сектор колеса, тем больше вероятность выбора соответствующей хромосомы. Выбор хромосомы осуществляется случайным выбором числа из интервала [0, 100].

В результате этого процесса создается родительская популяция с численностью, равной численности текущей популяции.

Этап 5. Применение генетических операторов.

Данный этап приводит к образованию новой популяции хромосом (потомков) от родительской популяции. Применяются два основных оператора: кроссинговер и оператор мутации.

На первом этапе кроссинговера (скрещивания) выбираются пары хромосом из родительской популяции. Эта популяция состоит из хромосом, отобранных на этапе селекции. Объединение хромосом в пары производится случайным образом с вероятностью скрещивания P_S. Используется вероятность скрещивания P_S =0,5.

Для каждой пары отобранных родителей выбирается точка скрещивания (локус) - позиция в которой каждый из родителей будет разделен на 2 части. Выбор точки скрещивания сводится к случайному выбору числа k из интервала [1, l-1]. В результате работы оператора кроссинговера получается пара потомков.

Оператор мутации изменяет значение гена в хромосоме на иное с вероятностью P_m. Используется вероятность мутации P_m=0,01.

Этап 6. Формирование новой популяции.

Хромосомы, полученные в результате выполнения генетических операторов над родительской популяцией, включаются в состав новой популяции для очередной итерации РПХ.

При каждой итерации РПХ рассчитывается значение функции приспособленности F_pr для каждой из хромосом этой популяции, после чего проверяется условие остановки РПХ.

Процесс создания детекторов из шаблонов нормальной активности 2 и 3 частей ИНП, аналогичен процессу создания детекторов 1 части ИНП.

Количество детекторов, необходимых для решения задачи обнаружения компьютерных атак определяется следующим образом:

Формула (6) определяет число строк кандидатов в детекторы, которые необходимо сгенерировать на этапе обучения, в функции от вероятности необнаружения компьютерной атаки (), числа нормальных шаблонов активности (N_w), и вероятности совпадения двух сгенерированных строк (P_m ).

где m - количество символов алфавита, r - максимальное количество генов в хромосоме, совпавших с генами одной из исходных хромосом; l - длина хромосомы.

4. Созданная в (6.1) база детекторов записывается в (1).

5. В процессе функционирования ИТС ВН в (6.2), текущий индивидуальный профиль, сформированный в (3) преобразовывается в шаблоны текущей активности, по алгоритму, определенному для шаблонов нормальной активности.

6. В (4.1) полученные из (6.2) шаблоны текущей активности 1 части ТИП сравниваются с детекторами 1 части ИНП, полученными из (1). В случае совпадения регистрируется компьютерная атака на ИТС ВН и сигнал об это передается в (5).

В случае если на основании анализа устройство не может принять однозначного решения о наличии или отсутствии факта компьютерной атаки, т.е. когда присутствует частичное совпадение шаблона текущей активности и детектора, но порог чувствительности не превышен, оно автоматически понижает порог чувствительности в (4.2) до величины ₅ и переходит к выполнению следующего пункта алгоритма.

7. В (4.2) полученные из (6.2) шаблоны текущей активности 2 части ТИП сравниваются с детекторами 2 части ИНП, полученными из (1). В случае совпадения регистрируется компьютерная атака на ИТС ВН и сигнал об это передается в (5).

В случае если на основании анализа устройство не может принять однозначного решения о наличии или отсутствии факта компьютерной атаки, оно автоматически понижает порог чувствительности в (4.3) до величины ₉, и переходит к выполнению следующего пункта алгоритма.

8. В (4.3) полученные из (6.2) шаблоны текущей активности 3 части ТИП сравниваются с детекторами 3 части ИНП, полученными из (1). В случае любого совпадения регистрируется компьютерная атака на ИТС ВН и сигнал об это передается в (5).

В случае изменения условий функционирования ИТС ВН в (2) производится подстройка ИНП защищаемого объекта ИТС ВН.

Имитационное моделирование предлагаемого устройства для обнаружения компьютерных атак на информационно-телекоммуникационные сети военного назначения показало, что оно способно обнаруживать как известные, так и неизвестные компьютерные атаки в масштабе реального времени с количеством ошибок 1 и 2 рода, не превышающим допустимых значений для средств обнаружения компьютерных атак, предназначенных для использования в составе информационно-телекоммуникационных сетей военного назначения.

Устройство для обнаружения компьютерных атак на информационно-телекоммуникационные сети военного назначения, содержащее блок памяти, диспетчер обновления индивидуального нормального профиля (ИНП), блок данных, модуль анализа текущего индивидуального профиля (ТИП), состоящий из модуля обнаружения атак на 1 этапе реализации, модуля обнаружения атак на 2 этапе реализации и модуля обнаружения атак на 3 этапе реализации, и блок оповещения, отличающееся тем, что в конструкции устройства предложено использовать модуль интеллектуального самообучения, состоящий из блока формирования базы детекторов, формирующего базу детекторов компьютерных атак, входы которого соединены с выходами диспетчера обновления ИНП, а выходы - с входами блока памяти; блока формирования шаблонов текущей активности, формирующего шаблоны нормальной активности индивидуального нормального профиля защищаемого объекта, входы которого соединены с выходами блока данных, а выходы - с входами модуля анализа ТИП.

Система автоматического оповещения абонентов мобильной связи о событиях // 89737

Устройство защиты вычислительных сетей и систем от компьютерных атак // 113041

Система обнаружения и построения прогноза развития эпидемий компьютерных вирусов // 91203

Консультативно-диагностическая система в области телемедицины // 116662

Система предоставления услуг/товаров в телекоммуникационной сети // 63152

Система для оценки безопасности функционирования сложных телекоммуникационных систем // 102410

Устройство для обнаружения и идентификации информационных атак на ресурсы автоматизированных систем военного назначения // 120792

Устройство обнаружения и защиты от аномальной активности на сети передачи данных // 129279

Техническим результатом является повышение точности построения геолого-гидродинамической модели нефтегазового месторождения

Футляр для мобильного телефона // 93192

Модель безопасной обработки информации различных уровней конфиденциальности в информационно-телекоммуникационных системах // 85707

Система оптимальной бизнес-компании продвижения на рынок объектов интеллектуальной собственности // 62258

Интеллектуальная система автоматизации средств жизнеобеспечения // 108611

Полезная модель относится к области электроники, а также к области обработки и передачи данных для специальных применений и может быть использована для создания централизованных систем контроля и интеллектуального управления инфраструктурой жилых, офисных и общественных зданий и помещений, включающих системы электроснабжения, водоснабжения, теплоснабжения, газоснабжения, вентиляции, и т.п.