Устройство защиты от компьютерных атак в автоматизированных системах
Устройство защиты от компьютерных атак в автоматизированных системах относится к области электросвязи и может быть использовано в средствах защиты от компьютерных атак. Техническим результатом полезной модели является совершенствование системы дефрагментации пакетов за счет контроля очередей фрагментированных пакетов. Эта цель достигается тем, что в устройство защиты от компьютерных атак в автоматизированных системах содержащее: блок хранения эталонов известных атак и необходимых коэффициентов, блок приема адресованных абоненту пакетов данных, блок контроля правильности фрагментации пакета, блок проверки поступающих пакетов данных на соответствие заданным правила, блок реагирования для принятия мер защиты от атаки, вводятся блок таймера очередей фрагментированных пакетов, блок очистки буфера фрагментированных пакетов. 2 ил.
Предлагаемое устройство относится к области электросвязи и может быть использовано в средствах защиты от компьютерных атак.
Известно устройство для обнаружения удаленных атак на автоматизированные системы по патенту РФ 
2219577, «Устройство поиска информации», класс G06F 17/40, от 20.12.2003. Устройство заключается в том, что принимают из канала связи i-й пакет, где i=1, 2, 3,
, и запоминают его. Выделяют из заголовка i-го и (i+1)-гo пакета признаковые поля. Затем сравнивают пакеты на предмет однозначного совпадения выделенных признаковых полей (i+1)-гo пакета с выделенными признаковыми полями i-го пакета и по результатам сравнения принимают решение о факте наличия несанкционированного воздействия.
Недостатком данного устройства является относительная низкая вероятность обнаружения и распознавания типа атаки на автоматизированные системы, а именно, распознается только один тип удаленных атак - «шторм» ложных запросов на установление соединения. Это определяется тем, что сравниваются лишь два пакета сообщений - последующий и предыдущий, причем факт наличия «шторма» ложных запросов на создание соединения определяется при однозначном совпадении выделенных признаков блоков данных сообщений, что является недостаточным для достоверного определения факта атаки на автоматизированные системы. В аналоге не учитывают класс атак, связанных с неправильной фрагментацией блоков данных, что создает условия для пропуска атаки и, как, следствие, для деструктивных воздействий на автоматизированные системы, что, в свою очередь, приводит к снижению доступности автоматизированных систем.
Наиболее близким по своей технической сущности к заявленному и принятому за прототип является устройство обнаружения удаленных атак на автоматизированные системы по патенту РФ 2321052 «Способ обнаружения удаленных атак на автоматизированные системы», класс G06F 12/14 от 27.03.2008, содержащий, блок хранения эталонов известных атак и необходимых коэффициентов, блок приема адресованных абоненту пакетов данных, блок контроля правильности фрагментации пакета, блок проверки поступающих пакетов данных на соответствие заданным правила, блок реагирования для принятия мер защиты от атаки, причем вход блока приема связан с каналом связи, его выход соединен с входом блока контроля правильности фрагментации пакета, выход которого соединен с входом блока проверки на соответствие заданным правилам, выход блока хранения эталонов соединен с входом блока проверки по заданным правилам, выход блока проверки по заданным правилам соединен с входом блока реагирования, а выход блока реагирования соединен с входом блока приема пакетов.
Однако в известном устройстве обнаружения удаленных атак на автоматизированные системы отсутствует возможность контроля очередей пакетов, которые создаются и заполняются фрагментированными пакетами, вследствие этого, очереди могут привести к переполнению буфера фрагментированных пакетов.
Целью предлагаемого устройства является совершенствование системы дефрагментации пакетов за счет контроля очередей фрагментированных пакетов.
Цель достигается тем, что в устройство защиты от компьютерных атак в автоматизированных системах содержащее: блок хранения эталонов неизвестных атак и необходимых коэффициентов, блок приема адресованных абоненту пакетов данных, блок контроля правильности фрагментации пакета, блок проверки поступающих пакетов данных на соответствие заданным правилам, блок реагирования для принятия мер защиты от атаки, дополнительно введены блок таймера очередей фрагментированных пакетов, блок очистки буфера фрагментированных пакетов, при чем первый выход блока таймера соединен с входом блока проверки правильности фрагментации пакетов, второй выход соединен с входом блока очистки буфера фрагментированных пакетов, в свою очередь выход блока очистки буфера фрагментированных пакетов соединен с входом блока контроля правильности фрагментации пакета.
В известном техническом решении имеются признаки присущие заявленному решению. Это наличие блока приема пакетов, блока контроля правильности фрагментации пакетов, блока проверки поступающих пакетов, блока реагирования.
Однако свойства заявленного решения отличаются от свойств известного решения тем, что в заявленном устройстве для контроля очередей фрагментированных пакетов с целью устранения переполнения буфера фрагментированных пакетов введен: блок таймера очередей фрагментированных пакетов, блок очистки буфера фрагментированных пакетов, что соответствует признакам «существенные отличия» и обеспечивает достижение положительного эффекта.
Сущность полезной модели поясняется чертежом на фиг.1 и фиг.2. На фигуре 1 представлена структурная схема предлагаемого устройства, которая состоит из: 1 - блока приема пакетов; 2 - блока хранения эталонов; 3 - блока контроля правильности фрагментации пакетов; 4 - блока таймера, 5 - блока очистки буфера фрагментированных пакетов, 6 - блока проверки, 7 - блока реагирования.
Вход блока приема 1 связан с каналом связи, его выход соединен с входом блока контроля правильности фрагментации пакетов 3, выход которого соединен с входом блока проверки 6 на соответствие заданным правилам, первый выход блока таймера 4 соединен с входом блока контроля правильности фрагментации пакетов 3, а второй выход соединен с входом блока очистки буфера фрагментированных пакетов 5, выход которого соединен с входом блока контроля 3. Выход блока хранения эталонов 2 соединен с входом блока проверки по заданным правилам 6, выход блока проверки 6 соединен с входом блока реагирования 7, а управляющий выход блока реагирования 7 соединен с входом блока приема пакетов 1.
На фигуре 2 представлен принцип функционирования блока таймера 4 и блока очистки буфера фрагментированных пакетов 5.
Устройство работает согласно фиг.1 следующим образом. В блоке 2 задаются N>1 эталоны известных атак, коэффициенты сходства Ксх.мин - минимальное допустимое значение показателя сходства выделенных признаков сообщений, Ксовп.допуст - максимально допустимое количество совпадений.
В блок приема пакетов 1 поступают пакеты данных, которые в последующем поступают в блок контроля правильности фрагментации 3, одновременно на вход блока контроля правильности фрагментации 3 поступают сигналы блока таймера 4, которые характеризуют отчет очередей фрагментированных пакетов, в случае истечения времени таймера все фрагменты, находящиеся в данной очереди удаляются блоком очистки буфера 5, по сигналам блока таймера 4.
После того, как все фрагменты пакета приняты блоком контроля правильности фрагментации 3, и таймер для данных фрагментов не истек, далее пакет данных поступает на блок проверки 6, в котором происходит сравнение параметров полученного пакета с эталонами возможных атак, хранящимися в блоке хранения эталонов 2, вычисляются коэффициенты Ксх.мин, Ксовп.допуст. В случае Ксовп_доп_i
Ксовп_доп происходит передача информации о реализации возможной атаки в блок реагирования 7, для последующих действий.
Принцип работы блока таймера и блока очистки буфера фрагментированных пакетов представлен на фиг.2 согласно блок-схемы таймер устанавливается в первоначальное значение, когда принимается первый фрагмент для пакета. После истечения таймера пакет считается «неактуальным» и все фрагменты, принятые для пакета удаляются.
Блок таймера обновляет таймер для каждого фрагментированного пакета, (этап 21). Затем блок таймера определяет, истек ли таймер для какого-либо пакета (этап 22). Если ответ - «да», блок очистки буфера получает от блока таймера сигнал для каждого пакета с истекшим таймером. Блок очистки буфера затем удаляет все фрагменты, сохраненные в памяти фрагментов для неполного или «устаревшего» пакета (этап 23).
Использование заявленного устройства защиты от компьютерных атак в автоматизированных системах по сравнению с прототипом позволяет контролировать очереди фрагментированных пакетов, тем самым не допуская переполнения буфера фрагментированных пакетов, а именно освобождать область памяти, выделяемую для временного нахождения фрагментированных пакетов.
Устройство защиты от компьютерных атак в автоматизированных системах, содержащее блок хранения эталонов известных атак и необходимых коэффициентов, блок приема адресованных абоненту пакетов данных, блок контроля правильности фрагментации пакета, блок проверки поступающих пакетов данных на соответствие заданным правилам, блок реагирования для принятия мер защиты от атаки, причем вход блока приема связан с каналом связи, его выход соединен с входом блока контроля правильности фрагментации пакета, выход которого соединен с входом блока проверки на соответствие заданным правилам, выход блока хранения эталонов соединен с входом блока проверки по заданным правилам, выход блока проверки по заданным правилам соединен с входом блока реагирования, а выход блока реагирования соединен с входом блока приема пакетов, отличающийся тем, что в устройство введены блок таймера очередей фрагментированных пакетов, блок очистки буфера фрагментированных пакетов, причем первый выход блока таймера соединен с входом блока проверки правильности фрагментации пакетов, второй выход соединен с блоком очистки буфера фрагментированных пакетов, в свою очередь, выход блока очистки буфера фрагментированных пакетов соединен с входом блока контроля правильности фрагментации пакета.
