Полезная модель рф 70016

Предлагаемая полезная модель относится к области вычислительной техники, предназначена для мониторинга удаленных компьютерных атак на web-ресурсы серверного узла автоматизированной системы и может быть использована в автоматизированных средствах защиты информации.

Техническим результатом полезной модели является повышение быстродействия (уменьшение количества операций) процесса обнаружения компьютерных атак на информационные web-ресурсы по сравнению с прототипом.

Эта цель достигается тем, что в устройство обнаружения компьютерных атак на информационные web-ресурсы, содержащее блок хранения эталонов известных атак и необходимых коэффициентов, блок приема адресованных абоненту пакетов данных, блок проверки поступающих пакетов данных на соответствие заданным правилам, блок реагирования для принятия мер защиты от атаки, вводятся блок анализа информационного web-ресурса, блок вычисления хэш-кодов безопасных запросов и блок хранения хэш-кодов безопасных запросов.

Устройство обнаружения компьютерных атак на информационные web-ресурсы относится к области вычислительной техники и может быть использовано в автоматизированных средствах защиты информации с целью мониторинга компьютерных атак на информационные web-ресурсы.

Известен "Способ оперативного динамического анализа состояний многопараметрического объекта" по патенту №2134897, класс G06F 17/40, заявленный 20.08.1999 [1]. Изобретение содержит блок преобразования результатов допусковой оценки разнородных динамических параметров в соответствующие информационные сигналы с обобщением по всему множеству параметров в заданном временном интервале и блок определения относительной величины и характера изменения интегрального состояния многопараметрического объекта.

Недостатками данного технического решения является узкая область применения, обусловленная тем, что, несмотря на возможность оперативной диагностики технического и функционального состояний многопараметрического объекта, для обнаружения удаленных атак на информационные web-ресурсы данный способ недостаточно эффективен, т.к. в нем применяют ограниченную совокупность признакового пространства, что создает условия для пропуска атаки [2]. Кроме того, анализ запросов происходит в отложенном режиме, что позволяет обнаружить атаку только лишь после ее осуществления.

Наиболее близким по своей технической сущности к заявленному, выбранный в качестве прототипа, является "Способ обнаружения удаленных атак на автоматизированные системы управления" по патенту РФ №2264649 класс G06F 12/14, заявленный 26.04.2004 [3], содержащий, блок хранения эталонов известных атак и необходимых коэффициентов, блок приема адресованных абоненту пакетов данных, блок проверки поступающих

пакетов данных на соответствие заданным правилам, блок реагирования для принятия мер защиты от атаки, причем вход блока приема связан с каналом связи, его выход соединен со входом блока проверки на соответствие заданным правилам, выход блока хранения эталонов соединен со входом блока проверки по заданным правилам, выход блока проверки по заданным правилам соединен со входом блока принятия решения, а выход блока принятия решения соединен со входом блока приема пакетов.

Недостатком данного способа является тот факт, что в нем при постоянном увеличении размерности множества эталонов известных атак увеличивается количество операций, необходимых для поиска в нем признаков атаки, что в свою очередь уменьшает быстродействие технического решения.

Техническим результатом, достигаемым полезной моделью, является повышение быстродействия (уменьшение количества операций) процесса обнаружения компьютерных атак на информационные web-ресурсы в режиме реального времени на прикладном уровне ЭМВОС.

Сущность решаемой технической задачи заключается в том, что в устройство обнаружения компьютерных атак на информационные web-ресурсы, содержащее блок хранения эталонов известных атак и необходимых коэффициентов, блок приема адресованных абоненту пакетов данных, блок проверки поступающих пакетов данных на соответствие заданным правилам, блок принятия решения для принятия мер защиты от атаки, причем вход блока приема связан с каналом связи, его выход соединен со входом блока проверки на соответствие заданным правилам, выход блока хранения эталонов соединен со входом блока проверки по заданным правилам, выход блока проверки по заданным правилам соединен со входом блока принятия решения, а выход блока принятия решения соединен со входом блока приема пакетов, дополнительно введены блок анализа информационного web-ресурса, блок вычисления хэш-кодов безопасных запросов и блок хранения хэш-кодов безопасных запросов, причем выход блока анализа

информационного web-ресурса соединен со входом блока вычисления хэш-кодов безопасных запросов, выход блока вычисления хэш-кодов безопасных запросов соединен со входом блока хранения хэш-кодов безопасных запросов, а выход блока хранения хэш-кодов безопасных запросов соединен со входом блока проверки поступающих пакетов данных.

Сущность изобретения поясняется чертежом на фиг.1, на котором представлена структурная схема предлагаемого устройства, где цифрами обозначены: 1 - блок приема пакетов; 2 - блок хранения эталонов; 3 - блок анализа информационного web-ресурса; 4 - блок проверки; 5 - блок принятия решения; 6 - блок вычисления хэш-кодов безопасных запросов; 7 -блок хранения хэш-кодов безопасных запросов.

I - связь между блоком хранения эталонов и блоком проверки по заданным правилам, II - связь между блоком приема пакетов и блоком проверки. III - связь между блоком анализа информационного web-ресурса и блоком вычисления хэш-кодов безопасных запросов, IV - связь между блоком принятия решения и блоком приема пакетов, V - связь между блоком проверки и блоком принятия решения, VI - связь между блоком вычисления хэш-кодов безопасных запросов и блоком хранения хэш-кодов безопасных запросов, VII-связь между блоком хранения хэш-кодов безопасных запросов и блоком проверки.

Предлагаемое устройство обнаружения удаленных атак на web-сервер функционирует следующим образом.

Блок приема пакетов 1, принимает запрос клиента на получение информационного web-ресурса. Запрос характеризуется рядом параметров, а именно параметрами доступа к web-ресурсу (Fielding R., Gettys J. Request for Comments 2616 - HyperText Transfer Protocol - HTTP/1.1. Network Working Group, 1999) и дополнительно к ним имеет обобщенный признак, характеризующий безопасность запроса, - хэш-код от всех параметров доступа

В блоке 2 задаются N>1 эталонов известных атак, коэффициенты К _{cx min} - минимально допустимое значение показателя сходства выделенных признаков сообщений, К_{совп допуст} - максимально допустимое количество совпадений.

На предварительном этапе в блоке анализа информационного web-ресурса 3 осуществляется поблочное считывание данных из символьной последовательности, представляющей собой информационный ресурс web-сервера, последующее преобразование в цифровой вид и их поэлементное сравнение с заданной эталонной комбинацией запросов. В случае совпадения блок данных передается в блок 6, где происходит его преобразование в блок данных фиксированного размера малой длины посредством многократного применения к нему операций сложения. Результат помещается в блок 7 - блок хранения хэш-кодов безопасных запросов.

В блоке 4 происходит сравнение параметров полученного запроса с эталонами возможных атак, хранящимися в блоке хранения эталонов, со значениями хэш-кодов безопасных запросов, хранящимися в блоке хранения хэш-кодов безопасных запросов, и вычисляются коэффициенты К _{cx min}, К_{совп допуст}. Если выполняется правило К_{совп_доп_i} К_{совп_доп}, или отсутствует совпадение запроса со значениями хэш-кодов из блока 7 происходит передача информации о реализации возможной атаки в блок 5 принятия решения.

Блок 5 осуществляет принятие мер защиты от возможных атак, а именно фильтрует поступающий запрос, тем самым предотвращая его поступление к web-серверу для обработки.

Путем введения в устройство дополнительных блоков: блока анализа информационного web-ресурса, блока вычисления хэш-кодов безопасных запросов и блока хранения хэш-кодов безопасных запросов, и следующих дополнительных связей - выход блока анализа информационного web-ресурса соединен со входом блока вычисления хэш-кодов безопасных

запросов, выход блока вычисления хэш-кодов безопасных запросов соединен со входом блока хранения хэш-кодов безопасных запросов, а выход блока хранения хэш-кодов безопасных запросов соединен со входом блока проверки поступающих пакетов данных осуществляется формирование обобщенного признака, отражающего безопасность запроса. По результатам сравнения хэш-кода каждого поступающего запроса с эталонными значениями принимается решение о наличии в поступившем запросе признаков атаки.

Повышение быстродействия процесса обнаружения атак в режиме реального времени достигается за счет выполнения операции сопоставления с множеством безопасных запросов не всех значений параметров запроса, а лишь одного поля - значение хэш-кода запроса.

Источники информации:

1. "Способ оперативного динамического анализа состояний многопараметрического объекта", по патенту №2134897 класс G06F 17/40, заявленный 20.08.1999

2. Медведовский И.Д. и др. Атака на Internet. - М.: ДМК, 1999. - 336 с.: ил.

3. "Способ обнаружения удаленных атак на автоматизированные системы управления" по патенту РФ №2264649 класс G06F 12/14, заявленный 26.04.2004

Устройство обнаружения компьютерных атак на информационные web-ресурсы, содержащее блок хранения эталонов известных атак и необходимых коэффициентов, блок приема адресованных абоненту пакетов данных, блок проверки поступающих пакетов данных на соответствие заданным правилам, блок принятия решения для принятия мер защиты от атаки, причем вход блока приема связан с каналом связи, его выход соединен с входом блока проверки на соответствие заданным правилам, выход блока хранения эталонов соединен со входом блока проверки по заданным правилам, выход блока проверки по заданным правилам соединен с входом блока принятия решения, а выход блока принятия решения соединен со входом блока приема пакетов, отличающийся тем, что в устройство введены блок анализа информационного web-ресурса, блок вычисления хэш-кодов безопасных запросов и блок хранения кэш-кодов безопасных запросов, причем выход блока анализа информационного web-ресурса соединен со входом блока вычисления хэш-кодов безопасных запросов, выход блока вычисления хэш-кодов безопасных запросов соединен со входом блока хранения хэш-кодов безопасных запросов, а выход блока хранения хэш-кодов безопасных запросов соединен со входом блока проверки поступающих пакетов данных, причем в блок проверки по заданным правилам добавлен элемент сравнения хэш-кода поступившего запроса с хэш-кодами безопасных запросов, а в блок принятия решения добавлен элемент фильтрации поступившего запроса при идентификации его как небезопасного.