Способ защиты вычислительных сетей от несанкционированных воздействий

Иллюстрации

Показать все

Изобретение относится к электросвязи и может быть использовано в системах обнаружения атак с целью оперативного выявления и блокирования несанкционированных воздействий в вычислительных сетях, в частности в сети передачи данных (СПД) типа "Internet". Техническим результатом является повышение достоверности обнаружения (распознавания) несанкционированных воздействий в вычислительных сетях. Для этого предварительно задают перечень санкционированных соединений как совокупности опорных идентификаторов соединений, вводят коэффициент актуальности опорных идентификаторов санкционированных соединений, перечень наименований санкционированных процессов, формируют перечень и подсчитывают появления несанкционированных соединений, принятых в процессе контроля, за счет введения максимально допустимого количества появлений любого из всех принимаемых несанкционированных соединений. 7 ил.

Реферат

Изобретение относится к электросвязи и может быть использовано в системах обнаружения атак1 (толкование используемых терминов приведено в конце описания) с целью оперативного выявления и блокирования несанкционированных воздействий в вычислительных сетях, в частности в сети передачи данных (СПД) типа "Internet", основанных на семействе коммуникационных протоколов TCP/IP (Transmission Control Protocol / Internet Protocol) и описанных в книге Кульгин М. Технологии корпоративных сетей. Энциклопедия. - СПб.: Издательство "Питер", 1999. - 704с.: ил.

Заявленное техническое решение расширяет арсенал средств данного назначения.

Известен способ выявления несанкционированных воздействий, реализованный в патенте РФ №2179738, "Способ обнаружения удаленных атак в компьютерной сети", кл. G 06 F 12/14, заявл. 24.04.2000. Известный способ включает следующую последовательность действий. Наблюдение за информационным потоком адресованных абоненту пакетов данных, включающее постоянно возобновляемый подсчет числа пакетов, выполняемый в пределах серии пакетов, поступающих подряд друг за другом через промежутки времени не более заданного. При этом проверку поступающих пакетов данных на соответствие заданным правилам выполняют каждый раз, когда размер очередной наблюдаемой серии достигает критического числа пакетов.

Недостатками данного способа являются узкая область применения, что обусловлено его предназначением в основном для защиты от подмены одного из участников соединения и недостаточная достоверность2 при обнаружении других типов преднамеренных деструктивных воздействий. В аналоге применяют ограниченную совокупность признаковых описаний несанкционированных воздействий. При этом не учитывают наличия большого количества типов несанкционированных воздействий, что создает условия для пропуска последних и, как следствие, для деструктивных воздействий на вычислительные сети (ВС), что, в свою очередь, приводит к угрозам целостности3, доступности4 и конфиденциальности5 информации в ВС (см., например, Медведовский И.Д. и др. Атака на Internet. - M.: ДМК, 1999. - 336 с.: ил.).

Известен также способ, позволяющий по изменению состояния объекта защиты обнаруживать несанкционированные воздействия, по патенту РФ №2134897, кл. G 06 F 17/40, "Способ оперативного динамического анализа состояний многопараметрического объекта", заявл. 20.08.1999. В известном способе преобразуют результаты допусковой оценки разнородных динамических параметров в соответствующие информационные сигналы с обобщением по всему множеству параметров в заданном временном интервале и определяют относительную величину и характер изменения интегрального состояния многопараметрического объекта.

Недостатком данного способа является узкая область применения, обусловленная тем, что, несмотря на возможность оперативной диагностики технического и функционального состояний многопараметрического объекта, для обнаружения несанкционированных воздействий в ВС данный способ недостаточно эффективен, т.к. в нем применяют ограниченную совокупность признакового пространства, что создает условия для пропуска несанкционированных воздействий и деструктивного воздействия удаленных атак (см. Медведовский И.Д. и др. Атака на Internet. - М.: ДМК, 1999.-336 с.: ил.).

Наиболее близким по своей технической сущности к заявленному является способ обнаружения несанкционированных воздействий в ВС, реализованный в устройстве по патенту РФ №2219577, "Устройство поиска информации", кл. G 06 F 17/40, заявл. 24.04.2002. Способ-прототип заключается в том, что принимают из канала связи i-й пакет, где i=1, 2, 3,... и запоминают его. Принимают (i+1)-й пакет, запоминают его. Выделяют из заголовка 1-го и (i+1)-го пакетов идентификационные признаки (идентификаторы). Затем анализируют пакеты на предмет совпадения выделенных идентификаторов (i+1)-го пакета с идентификаторами i-го пакета и по результатам анализа принимают решение о факте наличия несанкционированного воздействия.

По сравнению с аналогами способ-прототип может быть использован в более широкой области, когда не только определяется тип протокола, анализируется состояние контролируемого объекта, но и учитываются правила установления и ведения сеанса связи, что необходимо для повышения устойчивости функционирования ВС в условиях деструктивных воздействий удаленных атак, проявляющихся в появлении несанкционированных соединений.

Недостатком прототипа является относительно низкая достоверность обнаружения (распознавания) несанкционированных воздействий в ВС, а именно распознается только один тип несанкционированного воздействия (атаки) - "шторм6" ложных запросов на установление соединения. Это определяется тем, что сравниваются только два пакета сообщений - последующий и предыдущий, причем факт появления несанкционированного воздействия определяется лишь при совпадении выделенных идентификаторов двух последовательно принятых пакетов, что является недостаточным для достоверного определения факта наличия несанкционированного воздействия в ВС. Также в прототипе не рассматривается разделение контроля санкционированных и несанкционированных соединений.

Целью заявленного технического решения является разработка способа защиты вычислительных сетей от несанкционированных воздействий, обеспечивающего повышение достоверности обнаружения (распознавания) несанкционированных воздействий в ВС за счет предварительного задания перечня санкционированных соединений как совокупности опорных идентификаторов соединений, введения коэффициента актуальности опорных идентификаторов санкционированных соединений, перечня наименований санкционированных процессов, формирования перечня и подсчета появлений несанкционированных соединений, принятых в процессе контроля, за счет введения максимально допустимого количества появлений любого из всех принимаемых несанкционированных соединений, что необходимо для обеспечения устойчивого функционирования ВС, заключающегося в своевременном и достоверном предоставлении сервисных возможностей санкционированным абонентам, а также обеспечения целостности, доступности и конфиденциальности обрабатываемой информации. Здесь и далее под идентификаторами соединений понимаются поля анализируемых пакетов сообщений, которые содержат сетевые IP-адреса и номера портов отправителя и получателя пакетов сообщений, а под коэффициентом актуальности опорного идентификатора понимают некоторый коэффициент, имеющий числовое значение, изменение которого в меньшую сторону означает снижение актуальности идентификатора.

Поставленная цель достигается тем, что в известном способе защиты ВС от несанкционированных воздействий, заключающемся в том, что принимают из канала связи последовательно пакеты сообщений с номерами k=1, 2, 3..., выделяют из заголовка каждого принятого пакета сообщений его идентификационные признаки, анализируют их и по результатам анализа принимают решение о наличии несанкционированного воздействия, предварительно задают N≥1 опорных идентификаторов санкционированных соединений и устанавливают для всех опорных идентификаторов первоначальный уровень коэффициента актуальности ZОП. Устанавливают М≥1 наименований санкционированных процессов и максимально допустимое число Кmax появлений любого из принимаемых несанкционированных соединений, причем число Ki появлений i-го несанкционированного соединения, где i=1, 2, 3,... - номер очередного несанкционированного соединения, отличающегося от других ранее принятых несанкционированных соединений. Затем, после приема из канала связи очередного k-го пакета сообщений и выделения из его заголовка идентификационных признаков, в качестве которых принимают идентификатор соединения, анализируют его. Для этого сравнивают выделенный идентификатор принятого пакета сообщений с предварительно запомненными опорными идентификаторами санкционированных соединений. При совпадении выделенного идентификатора с одним из опорных идентификаторов уменьшают на единицу значения коэффициентов актуальности, принадлежащих всем остальным опорным идентификаторам, после чего из предварительно заданной совокупности опорных идентификаторов удаляют те из них, значение коэффициента актуальности которых после их уменьшения на единицу равно нулю. После этого принимают очередной (к+1)-й пакет сообщений и повторяют указанные действия. А при несовпадении выделенного из k-го пакета сообщений идентификационного признака с предварительно запомненными опорными идентификаторами запоминают его идентификационный признак, значение коэффициента актуальности всех опорных идентификаторов уменьшают на единицу, после чего удаляют из совокупности опорных идентификаторов те из них, значения коэффициентов актуальности которых равны нулю. Затем сравнивают выделенный из k-го пакета сообщений идентификационный признак с совокупностью ранее запомненных идентификаторов, выделенных из предыдущих принятых пакетов сообщений и не совпавших с совокупностью опорных идентификаторов. При отсутствии совпадения выделенного из k-го пакета сообщений идентификатора запоминают его и присваивают ему i-й номер, и число его появлений Кi увеличивают на единицу. Причем при выполнении условия Ki≥Kmax дополнительно сравнивают адрес отправителя k-го пакета сообщений с адресами отправителей в составе опорных идентификаторов. При отсутствии адреса отправителя среди опорных идентификаторов санкционированных соединений принимают решение о несанкционированном воздействии, блокируют источник несанкционированного воздействия, отправивший k-й пакет сообщений, и вновь присваивают числу Кi появлений данного несанкционированного соединения нулевое значение. А при совпадении адреса отправителя k-го пакета сообщений с адресами в составе опорных идентификаторов формируют запрос отправителю на указание наименования процесса и принимают ответ отправителя. При наличии указанного наименования процесса в составе предварительно заданных санкционированных процессов в состав ранее запомненных опорных идентификаторов включают в качестве опорного дополнительный идентификатор санкционированного соединения и присваивают его коэффициенту актуальности первоначальное значение ZОП. А при отсутствии в составе санкционированных процессов наименования процесса указанного в ответе отправителя k-го пакета сообщений принимают решение о несанкционированном воздействии, блокируют источник несанкционированного воздействия, отправивший k-й пакет сообщений, и присваивают числу Кi появлений данного несанкционированного соединения нулевое значение. А при совпадении идентификационного признака, выделенного из k-го пакета сообщений, с предварительно запомненными идентификаторами, отсутствующими в совокупности опорных идентификаторов, увеличивают число его появлений на единицу, и при значении количества появлений Ki<Kmax принимают очередной (k+1)-й пакет сообщений и повторяют указанные действия по выделению из заголовка (k+1)-го пакета сообщений идентификационного признака и его анализу.

Повышение достоверности обнаружения (распознавания) несанкционированных воздействий в ВС в заявленном способе обеспечивается благодаря новой совокупности существенных признаков за счет предварительного задания перечня санкционированных соединений как совокупности опорных идентификаторов соединений и введения коэффициента актуальности для каждого опорного идентификатора, а также задания перечня наименований санкционированных процессов, формирования перечня и подсчета появлений каждого из несанкционированных соединений, принятых в процессе контроля, и за счет введения максимально допустимого количества появлений каждого несанкционированного соединения из всей совокупности принимаемых несанкционированных соединений, что необходимо для обеспечения устойчивого функционирования ВС, заключающегося в предоставлении сервисных возможностей санкционированным абонентам, а также обеспечении целостности, доступности и конфиденциальности обрабатываемой информации, так как узлы ВС обладают уязвимостями7 программного обеспечения, подвергаются преднамеренным деструктивным воздействиям удаленных компьютерных атак, признаками наличия которых являются несанкционированные соединения, а высокая пропускная способность современных СПД значительно расширяет деструктивные возможности удаленных атак.

Проведенный анализ уровня техники позволил установить, что аналоги, характеризующиеся совокупностью признаков, тождественных всем признакам заявленного технического решения, отсутствуют, что указывает на соответствие заявленного устройства условию патентоспособности "новизна". Результаты поиска известных решений в данной и смежных областях техники с целью выявления признаков, совпадающих с отличительными от прототипа признаками заявленного объекта, показали, что они не следуют явным образом из уровня техники. Из уровня техники также не выявлена известность влияния предусматриваемых существенными признаками заявленного изобретения преобразований на достижение указанного технического результата. Следовательно, заявленное изобретение соответствует условию патентоспособности "изобретательский уровень".

Заявленный способ поясняется чертежами, на которых показаны:

фиг.1 - иерархия протоколов семейства TCP/IP;

фиг.2 - структура заголовков IP- и ТСР-пакетов сообщений;

фиг.3 - блок-схема алгоритма, реализующего заявленный способ защиты вычислительных сетей от несанкционированных воздействий;

фиг.4 - таблица опорных идентификаторов;

фиг.5 - рисунок, поясняющий реализацию заявленного способа на уровне контроля соединений;

фиг.6 - рисунок, поясняющий появление несанкционированного соединения;

фиг.7 - рисунок, поясняющий изменение коэффициентов актуальности санкционированных соединений.

Известно, что для обеспечения информационной безопасности необходимо с высокой достоверностью определять факты несанкционированных воздействий на ВС, признаками наличия которых являются несанкционированные соединения. Кроме того, несанкционированные соединения могут являться признаками наличия вредоносного программного обеспечения (ПО) и нарушения политики безопасности8 санкционированными пользователями. Таким образом, обнаружение несанкционированных воздействии реализуется путем обнаружения несанкционированных соединений. Существующие технические решения не позволяют достичь указанных целей. Деструктивные возможности удаленных атак и вредоносных программ связаны с тем, что большинство из них напрямую нацелены на слабые места средств защиты, уязвимости операционных систем и системных приложений (см., например, Корнеев И.Р., Беляев А.В. Информационная безопасность предприятия. - СПб.: БХВ-Петербург, 2003.-752 с.: ил. стр.115-123), составляющих материальную основу узлов ВС, обрабатывающих запросы на обслуживание от санкционированных абонентов и обладающих ограниченной вычислительной мощностью по обработке запросов и ограниченной длиной очереди запросов. Кроме того, полезная пропускная способность СПД, входящих в ВС, значительно уменьшается за счет появления несанкционированных соединений. В свою очередь, устаревшая информация о санкционированных объектах и субъектах доступа снижает эффективность средств защиты и их быстродействие.

Существующий механизм создания соединений для организации обмена сообщениями между узлами ВС за счет своей гибкости и универсальности позволяет создавать распределенные приложения. Вследствие этого задача их контроля является трудно формализуемой и требующей разработки новых технических решений. Одной из важнейших причин трудностей формализации является большое количество протоколов, реализованных в семействе TCP/IP. Иерархия семейства протоколов TCP/IP представлена на фиг.1.

Поиск эффективных технических решений повышения достоверности обнаружения (распознавания) несанкционированных воздействий может быть осуществлен путем предварительного задания перечня санкционированных соединений как совокупности опорных идентификаторов санкционированных соединений и введения коэффициентов актуальности для каждого опорного идентификатора, задания перечня наименований санкционированных процессов, формирования перечня несанкционированных соединений, принятых в процессе контроля, а также за счет введения максимально допустимого числа появлений любого из принимаемых несанкционированных соединений. Здесь и далее под опорными идентификаторами понимают совокупность предварительно запомненных опорных идентификаторов санкционированных соединений. Чувствительность системы контроля соединений в ВС определяется коэффициентом актуальности опорных идентификаторов и максимально допустимым числом появлений любого из принимаемых несанкционированных соединений. Значение показателя максимально допустимого количества появлений несанкционированных соединений (критерий обнаружения несанкционированных соединений) может выбираться в зависимости от требуемой своевременности обнаружения несанкционированного соединения и с учетом качества СПД ВС. А значения коэффициентов актуальности опорных идентификаторов могут выбираться в зависимости от подверженности изменениям в отношениях объектов и субъектов доступа данной защищаемой ВС.

Заявленный способ реализуют следующим образом. Структура пакетов сообщений известна (см., например, Кульгин М. Технологии корпоративных сетей. Энциклопедия. - СПб.: Издательство "Питер", 1999. - 704 с.: ил.), как известен и принцип передачи пакетов в ВС, что дает возможность анализа идентификаторов обоих участников соединения и формирования опорных идентификаторов. Например, на фиг.2 представлены структуры заголовков IP- и TCP-пакетов сообщений. Полужирным шрифтом выделены поля идентификаторов соединений, по которым определяют сетевые адреса отправителя и получателя пакетов сообщений, а также их порты.

На фиг.3 представлена блок-схема алгоритма, реализующего заявленный способ защиты вычислительных сетей от несанкционированных воздействий, в которой приняты следующие обозначения:

Zоп - первоначальный уровень коэффициента актуальности всех опорных идентификаторов;

IDпр - идентификатор принятого пакета сообщений;

IDоп - опорный идентификатор;

{IDоп} - совокупность опорных идентификаторов;

Zj - коэффициент актуальности j-го опорного идентификатора;

{IDнс} - совокупность запомненных идентификаторов несанкционированных соединений;

IPпр - адрес принятого пакета сообщений;

{IPоп} - совокупность адресов санкционированных абонентов, находящихся в списке опорных идентификаторов;

Мпр - наименование процесса-инициатора несанкционированного соединения;

оп} - множество наименований санкционированных процессов.

Предварительно задают (см. блок 1 на фиг.3) совокупность из N≥1 опорных идентификаторов санкционированных соединений, каждый из которых включает адреса и номера портов отправителя и получателя, и устанавливают для всех опорных идентификаторов первоначальный уровень коэффициента актуальности Zоп. Затем устанавливают М≥1 наименований санкционированных процессов и максимально допустимое число Кmax появлений любого из принимаемых несанкционированных соединений. Причем число Ki появлений i-го несанкционированного соединения, где i=1, 2, 3... номер очередного несанкционированного соединения, отличающегося от других ранее принятых несанкционированных соединений, в начале работы ВС принимают равным нулю.

Из канала связи принимают (см. блок 2 на фиг.3) k-й пакет сообщения, где k<1, 2, 3..., и выделяют (см. блок 3 на фиг.3) из заголовка принятого пакета идентификационные признаки, в качестве которых принимают идентификатор соединения. Затем сравнивают (см. блок 4 на фиг.3) выделенные идентификаторы с опорными. Совпадение при этой проверке означает, что принятый пакет сообщений относится к санкционированному соединению. Далее уменьшают (см. блок 5 на фиг.3) на единицу значения коэффициентов актуальности, принадлежащих всем опорным идентификаторам, кроме совпавшего с выделенным из принятого пакета, после чего из предварительно заданной совокупности опорных идентификаторов удаляют те из них, значение коэффициента актуальности которых после их уменьшения на единицу равно нулю. После этого принимают следующий (k+1)-й пакет сообщений (см. блок 8 на фиг.3).

При отсутствии совпадения выделенного идентификатора с предварительно запомненными опорными идентификаторами запоминают выделенный идентификатор и значение коэффициента актуальности всех опорных идентификаторов уменьшают (см. блок 9 на фиг.3) на единицу, после чего удаляют (см. блок 11 на фиг.3) из совокупности опорных идентификаторов те из них, значения коэффициентов актуальности которых равны нулю. Затем сравнивают выделенный из (k+1)-го пакета сообщений идентификационный признак с совокупностью ранее запомненных идентификаторов, выделенных из предыдущих принятых пакетов сообщений и не совпавших с совокупностью опорных идентификаторов.

При отсутствии совпадения выделенного из (k+1)-го пакета сообщений идентификатора запоминают (см. блок 13 на фиг.3) его и присваивают ему i-й номер, а число его появлений Кi увеличивают на единицу. Причем при выполнении условия Кimax дополнительно сравнивают (см. блок 17 на фиг.3) адрес отправителя (k+1)-го пакета сообщений с адресами отправителей в составе опорных идентификаторов. При отсутствии адреса отправителя (k+1)-го пакета сообщений среди адресов отправителей в составе опорных идентификаторов принимают решение о несанкционированном воздействии, блокируют (см. блок 23 на фиг.3) источник несанкционированного воздействия, отправивший (k+1)-й пакет сообщений, и вновь присваивают числу Кi появлений данного несанкционированного соединения нулевое значение.

При совпадении адреса отправителя (k+1)-го пакета сообщений с адресами в составе опорных идентификаторов формируют (см. блок 18 на фиг.3) запрос отправителю на указание наименования процесса, инициировавшего данное соединение. Это связано с тем, что в случае обнаружения несанкционированного ИП требуется дополнительная проверка, т.к. при установлении активного соединения в семействе протоколов TCP/IP может быть выбран любой порт из диапазона 0..65535 (см., например, Золотов С. Протоколы Internet - СПб.: BHV - Санкт-Петербург, 1998. - 304 с., ил.), следовательно, необходимо определить, является ли процесс-инициатор соединения санкционированным. Для этого принимают ответ отправителя на запрос и при наличии указанного наименования процесса-инициатора в составе предварительно заданных санкционированных процессов в состав ранее запомненных опорных идентификаторов включают в качестве опорного (см. блок 21 на фиг.3) дополнительный идентификатор санкционированного соединения и присваивают его коэффициенту актуальности первоначальное значение Zоп. А при отсутствии в составе санкционированных процессов наименования процесса, указанного в ответе отправителя (k+1)-го пакета сообщений, принимают решение о несанкционированном воздействии. После этого блокируют (см. блок 23 на фиг.3) источник несанкционированного воздействия, отправивший (k+1)-й пакет сообщений, и присваивают числу Кi появлений данного несанкционированного соединения нулевое значение.

При совпадении идентификационного признака, выделенного из (k+1)-го пакета сообщений, с предварительно запомненными идентификаторами, отсутствующими в совокупности опорных идентификаторов, увеличивают (см. блок 15 на фиг.3) число его появлений на единицу, и при значении количества появлений Ki<Kmax принимают (см. блок 8 на фиг.3) очередной (k+1)-й пакет сообщений и повторяют указанные действия по выделению из заголовка (k+1)-го пакета сообщений идентификационного признака и его анализу.

Возможность реализации сформулированного технического результата была проверена путем машинного моделирования обнаружения несанкционированных соединений и контроля актуальности опорных санкционированных соединений заявленным способом. На фиг.4 представлены исходные данные для моделирования (эксперимента), в качестве которых выступают идентификаторы санкционированных соединений (IP - сетевой адрес объекта/субъекта доступа, Р - порт объекта/субъекта доступа), приведенные в таблице 1, а также опорное значение коэффициента актуальности опорных идентификаторов (Zоп=500), наименования санкционированных процессов (explorer. exe) и допустимое количество появлений любого из принимаемых несанкционированных соединений (Kmax=1).

В результате проведенного эксперимента были выявлены следующие типы соединений:

- санкционированные соединения, идентификаторы которых, как видно на фиг.5 (рис.1 и таблица 1), совпадают с опорными;

- соединения, источниками которых являются санкционированные абоненты, но идентификаторы этих соединений не совпадают с опорными (см. рис.2 и таблица 1 на фиг.5). Такие соединения могут после определения процесса-инициатора быть блокированы, либо их идентификаторы будут дополнительно внесены к опорным;

- соединения, источниками которых являются несанкционированные абоненты (см. рис.1 и табл. 1 на фиг.6). Такие соединения являются несанкционированными и должны быть блокированы.

В начале работы модели все санкционированные соединения имели опорные идентификаторы с коэффициентом актуальности, равным Zоп=500, как это видно на фиг.7 (момент времени t1). Однако в течение работы системы актуальность опорных соединений была подвержена коррекции (моменты времени t2, t3, t4). Среди представленных санкционированных соединений отображены соединения, актуальность которых снизилась до нуля (соединения 6, 11). Идентификаторы таких соединений были удалены из списка опорных идентификаторов. В то же время в течение работы системы были выявлены новые санкционированные соединения (соединения 13, 14, 15), идентификаторы которых были дополнительно внесены в список опорных, и их коэффициентам актуальности было присвоено опорное значение Zоп.

Из представленных результатов следуют выводы: при предварительном задании опорных идентификаторов санкционированных соединений и их коэффициентов актуальности, а также наименований санкционированных процессов-инициаторов санкционированных соединений и максимально допустимого количества появлений любого из принимаемых несанкционированных воздействий, учитываемых системой распознавания, заявленный способ, как видно из описания модели и фиг.7, обеспечивает повышение достоверности обнаружения несанкционированных воздействий в ВС, а также увеличение быстродействия системы обнаружения несанкционированных воздействий по сравнению с другими аналогичными системами, за счет удаления из списка опорных идентификаторов устаревших (неактуальных) идентификаторов и, следовательно, сокращения времени анализа каждого принимаемого пакета сообщений.

Дополнительным свойством заявленный способ обеспечивает обнаружение несанкционированных воздействий в ВС не только на этапе реализации деструктивных действий, но и, что очень важно (см., например, Лукацкий А.В. Обнаружение атак. - СПб.: БХВ - Петербург, 2001. - 624 с.: ил. на стр.51), на этапе сбора информации о ВС нарушителем, так как при этом возникают несанкционированные соединения. Также к дополнительным положительным свойствам способа можно причислить увеличение быстродействия системы обнаружения несанкционированных воздействий по сравнению с аналогичными системами, основанными на сигнатурных методах выявления несанкционированных воздействий, за счет контроля легитимности соединений вместо сопоставления каждого пакета сообщений с базой данных сигнатур известных атак.

Перечень используемых терминов

1. Атака - практическая реализация угрозы или попытка ее реализации с использованием той или иной уязвимости [Конеев И.Р., Беляев А.В. Информационная безопасность предприятия. - СПб.: БХВ-Петербург, 2003. - 752 с.: ил. на стр.30].

2. Достоверность - степень объективного соответствия результатов диагностирования (контроля) действительному техническому состоянию объекта [Кузнецов В.Е., Лихачев А.М., Паращук И.Б., Присяжнюк С.П. Телекоммуникации. Толковый словарь основных терминов и сокращений. Под редакцией А.М. Лихачева, С.П. Присяжнюка. СПб.: Издательство МО РФ, 2001].

3. Целостность - свойство информации при ее обработке техническими средствами, обеспечивающее предотвращение ее несанкционированной модификации или несанкционированного уничтожения [Терминология в области защиты информации. Справочник. Москва 1993. ВНИИстандарт].

4. Доступность - свойство при ее обработке техническими средствами, обеспечивающее беспрепятственный доступ к ней для проведения санкционированных операций по ознакомлению, документированию, модификации и уничтожению [Терминология в области защиты информации. Справочник. Москва 1993. ВНИИстандарт].

5. Конфиденциальность - свойство информации при ее обработке техническими средствами, обеспечивающее предотвращение несанкционированного ознакомления с ней или несанкционированного документирования (снятия копий) [Терминология в области защиты информации. Справочник. Москва 1993. ВНИИстандарт].

6. Шторм - передача на объект атаки как можно большего числа ложных ТСР-запросов на создание от имени любого хоста [Медведовский И.Д. и др. Атака на Internet. - М.: ДМК, 1999. - 336 с.: ил. на стр.121].

7. Уязвимость - некая слабость, которую можно использовать для нарушения системы или содержащейся в ней информации [Информационная безопасность и защита информации. Сборник терминов и определений. Государственная техническая комиссия России, 2001 г.].

8. Политика безопасности - набор формальных (официально утвержденных либо традиционно сложившихся) правил, которые регламентируют функционирование механизма информационной безопасности [Конеев И.Р., Беляев А.В. Информационная безопасность предприятия. - СПб.: БХВ-Петербург, 2003. - 752 с.: ил. на стр.30].

Способ защиты вычислительных сетей от несанкционированных воздействий, заключающийся в том, что принимают из канала связи последовательно пакеты сообщений с номерами k=1, 2, 3..., выделяют из заголовка каждого принятого пакета сообщений его идентификационные признаки, анализируют их и по результатам анализа принимают решение о наличии или отсутствии несанкционированного воздействия, отличающийся тем, что предварительно задают N≥1 опорных идентификаторов санкционированных соединений, каждый из которых включает адреса и номера портов отправителя и получателя, устанавливают для всех опорных идентификаторов первоначальный уровень коэффициента актуальности Zоп, устанавливают М≥1 наименований санкционированных процессов и максимально допустимое число Кmax появлений любого из принимаемых несанкционированных соединений, причем число Кi появлений i-го несанкционированного соединения, где i=1, 2, 3... номер очередного несанкционированного соединения, отличающегося от других ранее принятых несанкционированных соединений, в начале работы вычислительной сети принимают равным нулю, а после приема очередного k-го пакета сообщений и выделения из его заголовка идентификационных признаков, в качестве которых принимают идентификатор соединения, анализируют его, для чего сравнивают выделенный идентификатор соединения с предварительно запомненными опорными идентификаторами санкционированных соединений и при совпадении его с одним из опорных идентификаторов уменьшают на единицу значения коэффициентов актуальности, принадлежащих всем остальным опорным идентификаторам, после чего из предварительно заданной совокупности опорных идентификаторов удаляют те из них, значение коэффициента актуальности которых после их уменьшения на единицу равно нулю, а при несовпадении выделенного из k-го пакета сообщений идентификационного признака с предварительно запомненными опорными идентификаторами запоминают выделенный из k-го пакета сообщений идентификационный признак, значение коэффициента актуальности всех опорных идентификаторов уменьшают на единицу, после чего удаляют из совокупности опорных идентификаторов те из них, значения коэффициентов актуальности которых равны нулю, затем сравнивают выделенный из k-го пакета сообщений идентификационный признак с совокупностью ранее запомненных идентификаторов, выделенных из предыдущих принятых пакетов сообщений и не совпавших с совокупностью опорных идентификаторов, при отсутствии совпадения выделенного из k-го пакета сообщений идентификатора запоминают его и присваивают ему i-й номер и число его появлений Кi увеличивают на единицу, причем при выполнении условия Кi≥Кmax дополнительно сравнивают адрес отправителя k-го пакета сообщений с адресами отправителей в составе опорных идентификаторов и при его отсутствии среди них принимают решение о несанкционированном воздействии, блокируют источник несанкционированного воздействия, отправивший k-й пакет сообщений, и вновь присваивают числу Кi появлений данного несанкционированного соединения нулевое значение, а при совпадении адреса отправителя k-го пакета сообщений с адресами в составе опорных идентификаторов формируют запрос отправителю на указание наименования процесса, принимают ответ отправителя и при наличии указанного наименования процесса в составе предварительно заданных санкционированных процессов в состав ранее запомненных опорных идентификаторов включают в качестве опорного дополнительный идентификатор санкционированного соединения и присваивают его коэффициенту актуальности первоначальное значение Zон, а при отсутствии в составе санкционированных процессов наименования процесса указанного в ответе отправителя k-го пакета сообщений принимают решение о несанкционированном воздействии, блокируют источник несанкционированного воздействия, отправивший k-й пакет сообщений, и присваивают числу Кi появлений данного несанкционированного соединения нулевое значение, при совпадении идентификационного признака выделенного из k-го пакета сообщений с предварительно запомненными идентификаторами, отсутствующими в совокупности опорных идентификаторов, увеличивают число его появлений на единицу и при значении количества появлений Ki<Kmax принимают очередной (k+1)-й пакет сообщений и повторяют указанные действия по выделению из заголовка (k+1)-го пакета сообщений идентификационного признака и его анализу.