Способ анализа информационного потока и определения состояния защищенности сети на основе адаптивного прогнозирования и устройство для его осуществления

Способ анализа информационного потока и определения состояния защищенности сети на основе адаптивного прогнозирования и устройство для его осуществления

Иллюстрации

Показать все

Реферат

Предлагаемые технические решения объединены единым изобретательским замыслом и относятся к области передачи цифровой информации для обеспечения безопасности и правильности работы и области обработки цифровых данных с помощью электрических устройств для контроля, обнаружения и исправления ошибок.

Известны способы, реализованные, например, в устройстве по патенту RU №2219577, МПК G06F 17/40, от 24 апреля 2002 г., в котором осуществляется анализ протоколов, учет правил установления и ведения сеанса, а именно однозначного решения об использовании протокола TCP и о наличии неоднократного повторяющихся запросов на создание сколь угодно большого количества логических каналов связи путем сравнения последующего блока данных с предыдущим; по патент RU №2301443, МПК G06F 12/14; G06F 17/40, от 20 июня 2007 г., в котором осуществляется анализ протоколов, учет правил установления и ведения сеанса связи, обеспечение получения однозначного решения об использовании протокола TCP и о наличии неоднократно повторяющихся запросов на создание большого количества логических каналов связи путем сравнения последующего блока данных с предыдущим по девяти параметрам.

Однако известные способы-аналоги обладают низкой оперативностью процесса принятия решения, поскольку реагируют только на текущие значения характеристических параметров трафика, не обладая возможностью осуществлять прогнозирование значений данных параметров, что приводит к неустойчивому функционированию автоматизированных систем в условиях несанкционированного информационного воздействия и ограничивает область его применения в сетях передачи данных типа "Интернет" в условиях деструктивных воздействий (описанного, например, в книге Медведовского В.Д. и др. "Атака на Internet". - М.: ДМК, 1999, стр.120-128).

Известны устройства, например, такие как "Устройство поиска информации" по патенту RU №2219577, МПК G06F 17/40, опубликованное 24 апреля 2002 г; "Устройство поиска информации" по патенту RU №2301443, МПК G06F 12/14; G06F 17/40, опубликованное 20 июня 2007 г.

Известные аналоги содержат устройства, предназначенные для обеспечения устойчивого функционирования автоматизированных систем в условиях несанкционированного воздействия (атак), и осуществляют анализ протоколов с учетом правил установления и ведения сеанса связи, а именно получения однозначного решения об использовании протокола TCP и о наличии неоднократного повторяющихся запросов на создание сколь угодно большого количества логических каналов связи путем сравнения последующего блока данных с предыдущим по ряду параметров. Общим недостатков аналогов является низкая оперативность процесса принятия решения, поскольку устройства-аналоги реагируют только на текущие значения трафика, не обладая возможностью осуществлять прогнозирование значений характеристических параметров информационного потока, что приводит к неустойчивому функционированию автоматизированных систем в условиях несанкционированного информационного воздействия и ограничивает область его применения в сетях передачи данных типа "Интернет" в условиях деструктивных воздействий.

Наиболее близким по технической сущности (прототипом) к заявляемому способу является способ, реализованный в устройстве "Устройство определения состояния сети связи" (патент RU №2383105, МПК H04B 3/46, от 27 февраля 2010 г.). Способ-прототип заключается в том, что выделяют из информационного потока пакеты, передаваемые по протоколам TCP/IP, извлекают из выделенных пакетов характеристические параметры, при совпадении IP-адреса получателя и отправителя записывают сигнал об аномальных значениях в IP-адресах, рассчитывают отношение пакетов TCP с установленными флагами SYN и FIN в единицу времени и записывают полученное значение как первый признак аномального трафика, рассчитывают интенсивность информационного обмена пакетами TCP в единицу времени и записывают полученное значение как второй признак аномального трафика, рассчитывают количество TCP-пакетов, приходящих в единицу времени, и записывают полученное значение как третий признак аномального трафика, рассчитывают отношение числа пакетов, получивших отказ к общему числу пришедших пакетов, и записывают полученное значение как четвертый признак аномального трафика, при обнаружении некорректного IP-адреса записывают сигнал о некорректном IP-адресе, полученные значения признаков аномального трафика нормируют и записывают полученные после нормировки значения, на основе полученных значений вычисляют численное значение уровня аномальности трафика и отображают данное значение на устройстве вывода информации.

Способ-прототип осуществляет анализ параметром проходящих через него потоков, основанных на сигнатурном методе и измерении некорректных или аномальных параметров сетевого трафика.

Однако способ-прототип обладает недостатком: низкой оперативностью процесса принятия решения, поскольку реагирует только на текущие значения трафика, не обладая возможностью осуществлять прогнозирование значений характеристических параметров.

Наиболее близким по технической сущности (прототипом) к заявляемому устройству является "Устройство определения состояния сети связи" (патент RU №2383105, МПК H04B 3/46, от 27 февраля 2010 г.).

Известное устройство содержит блок индикации, блок управления, блок сравнения IP адресов, блок SYN/FIN и блок выделения параметров, вход которого является информационным входом устройства, а третий и четвертый выходы подключены соответственно к первому и второму входам блока SYN/FIN, первый и второй выходы подключены соответственно к первому и второму входам блока сравнения IP адресов, первый и второй выходы блока управления подключены к первому и второму входам блока выделения параметров, дополнительно введены блок интенсивности, блок нагрузки, блок потерь, блок достоверности, блок нормировки, первые и вторые входы блоков интенсивности, нагрузки подключены соответственно к пятому, шестому и седьмому, восьмому выходам блока выделения параметров, а первый, второй, третий входы блока достоверности подключены соответственно к девятому, десятому и одиннадцатому выходам блока выделения параметров, двенадцатый выход блока выделения параметров подключен к девятнадцатому входу блока индикации, входом блока потерь является статистическая информация о соотношении числа пакетов, получивших отказ к общему числу пришедших пакетов, первый выход блока SYN/FIN, выходы блока интенсивности, блока нагрузки и блока потерь подключены соответственно к первому, второму, третьему и четвертому входам блока нормировки, первый, второй, третий и четвертый выходы которого подключены соответственно к первому, второму, третьему и четвертому входам блока управления, выход блока достоверности подключен к восемнадцатому входу блока индикации, а выходы блока управления с третьего по восемнадцатый включительно подключены соответственно ко входам блока индикации со второго по семнадцатый включительно, выход блока сравнения IP адресов подключен к первому входу блока индикации.

Такая схема устройства-прототипа позволяет определять состояния сети с учетом повышения достоверности принятия решения и осуществлять анализ протокола TCP, учет правил установления и ведения сеанса связи, выявление аномального увеличения нагрузки входящего трафика, измерение соотношения числа пакетов на установление и разъединение соединения, аномального увеличения числа пакетов, получивших отказ, определение достоверности используемого источником IP адреса, выявление случаев установки запрещенных комбинаций флагов и неправильной установки IP адресов получателя и отправителя пакета.

Однако при такой совокупности описанных элементов и связей известное устройство обладает недостатком - низкой оперативностью процесса принятия решения, поскольку реагирует только на текущие значения трафика, не обладая возможностью осуществлять прогнозирование значений характеристических параметров.

Задачей изобретения является создание способа анализа информационного потока и определения состояния защищенности сети на основе адаптивного прогнозирования и устройство для его осуществления, позволяющего повысить оперативность принятия решения о несанкционированном информационном воздействии.

В заявленном способе эта задача решается тем, что в способе анализа информационного потока и определения состояния защищенности сети на основе адаптивного прогнозирования выделяют из информационного потока пакеты, передаваемые по протоколам ТСРЛР, извлекают из выделенных пакетов характеристические параметры, при совпадении IP-адреса получателя и отправителя записывают сигнал об аномальных значениях в IP-адресах, рассчитывают отношение пакетов TCP с установленными флагами SYN и FIN в единицу времени и записывают полученное значение как первый признак аномального трафика, рассчитывают интенсивность информационного обмена пакетами TCP в единицу времени и записывают полученное значение как второй признак аномального трафика, рассчитывают количество TCP-пакетов, приходящих в единицу времени, и записывают полученное значение как третий признак аномального трафика, рассчитывают отношение числа пакетов, получивших отказ к общему числу пришедших пакетов, и записывают полученное значение как четвертый признак аномального трафика, при обнаружении некорректного IP-адреса записывают сигнал о некорректном IP-адресе, полученные значения признаков аномального трафика нормируют и записывают полученные после нормировки значения, на основе полученных значений вычисляют численное значение уровня аномальности трафика и отображают данное значение на устройстве вывода информации, отличающийся тем, что до выделения пакетов из информационного потока записывают средние значения весовых коэффициентов признаков аномального трафика в блок прогнозирования, после нормировки признаков аномального трафика с учетом текущих полученных значений признаков аномального трафика и хранящихся в блоке прогнозирования значений признаков аномального трафика, полученных раннее, производят расчет прогнозируемых значений признаков аномального трафика и записывают полученные значения, сравнивают полученные текущие и прогнозируемые значения признаков аномального трафика, выбирают наибольшие по значению и записывают их, производят перерасчет весовых коэффициентов признаков аномального трафика и записывают полученные значения в блок прогнозирования.

Новая совокупность существенных признаков позволяет повысить оперативность принятия решения о несанкционированном информационном воздействии за счет использования механизма адаптивного прогнозирования и весовых коэффициентов критических параметров сетевого трафика. Применение данного механизма позволяет достигнуть обозначенного технического эффекта. Получаемый эффект основан на использовании механизма прогнозирования значений характеристических параметров информационного потока, на основе которых делается вывод о наличии аномального трафика, а также на использовании некоторого временного отрезка ΔT, за который осуществляется сбор, анализ и расчет среднестатистических значений характеристических параметров информационного потока в единицу времени. Таким образом, в простейшем случае при расчете прогнозируемых значений на глубину в один шаг получаемый эффект - выигрыш в оперативности принятия решения составляет время, равное значению временного отрезка ΔT. В общем случае, в зависимости от глубины прогнозирования выигрыш составит значение, равное величине n·ΔT, где n - глубина прогнозирования. Однако следует отметить, что при использовании механизма адаптивного прогнозирования существенным является точность прогнозирования, которая имеет обратную пропорциональную зависимость как от глубины предсказания n, так и от значения ΔT. То есть, чем больше глубина прогнозирования и промежуток времени, на котором рассчитываются среднестатистические значения характеристических параметров, тем меньше точность прогнозирования.

В заявленном устройстве эта задача решается тем, что устройство, содержащее блок индикации, блок управления, блок сравнения IP адресов, блок SYN/FIN, блок интенсивности, блок нагрузки, блок потерь, блок достоверности и блок выделения параметров, вход которого является информационным входом устройства, а третий и четвертый выходы подключены соответственно к первому и второму входам блока SYN/FIN, первый и второй выходы подключены соответственно к первому и второму входам блока сравнения IP адресов, первый и второй выходы блока управления подключены к первому и второму входам блока выделения параметров, первые и вторые входы блоков интенсивности нагрузки подключены соответственно к пятому, шестому и седьмому, восьмому выходам блока выделения параметров, а первый, второй, третий входы блока достоверности подключены соответственно к девятому, десятому и одиннадцатому выходам блока выделения параметров, двенадцатый выход блока выделения параметров подключен к девятнадцатому входу блока индикации, входом блока потерь является статистическая информация о соотношении числа пакетов, получивших отказ к общему числу пришедших пакетов, первый выход блока SYN/FIN, выходы блока интенсивности, блока нагрузки и блока потерь подключены соответственно к первому, второму, третьему и четвертому входам блока управления, выход блока достоверности подключен к восемнадцатому входу блока индикации, а выходы блока управления с третьего по восемнадцатый включительно подключены соответственно к входам блока индикации со второго по семнадцатый включительно, выход блока сравнения IP адресов подключен к первому входу блока индикации, отличающееся тем, что дополнительно в блок управления введен субблок нормирования, первый, второй, третий и четвертый входы которого подключены, соответственно, к первому выходу блока SYN/FIN, выходам блока интенсивности, блока нагрузки и блока потерь, и субблок прогнозирования, первый, второй, третий и четвертый входы которого подключены, соответственно, к первому, второму, третьему и четвертому выходам субблока нормирования.

Благодаря новой совокупности существенных признаков за счет дополнительно введенных элементов в заявленное устройство реализовано возможность повышения оперативности принятия решения о несанкционированном информационном воздействии за счет использования механизма адаптивного прогнозирования и весовых коэффициентов критических параметров сетевого трафика. Таким образом, в зависимости от глубины прогнозирования и значения некоторого временного отрезка ΔT, за который осуществляется сбор, анализ и расчет среднестатистических значений характеристических параметров информационного потока в единицу времени, полученный эффект в повышении оперативности принятия решения составит значение, равное величине n·ΔT.

Проведенный анализ уровня техники позволил установить, что аналоги, характеризующиеся совокупностью признаков, тождественных всем признакам заявленного технического решения, отсутствуют, что указывает на соответствие изобретения условию патентоспособности «новизна». Результаты поиска известных решений в данной и смежных областях техники показали, что аналоги, характеризующиеся совокупностью признаков, тождественных всем признакам заявленного технического решения, отсутствуют, что указывает на соответствие заявленного устройства условию патентоспособности «Новизна». Из уровня техники также не выявлена известность влияния предусматриваемых существенными признаками заявленного изобретения преобразований на достижение указанного технического результата. Следовательно, заявленное изобретение соответствует условию патентоспособности «изобретательский уровень».

Промышленная применимость заявляемого способа и устройства обусловлена тем, что предлагаемое техническое решение может быть реализовано как с помощью современной элементной базы с соответствующим программным обеспечением, так и в виде программных модулей.

Технический результат - повышение оперативности принятия решения о несанкционированном информационном воздействии достигается за счет использования механизма адаптивного прогнозирования и весовых коэффициентов критических параметров сетевого трафика.

Заявленные способ и устройство поясняются чертежами, на которых показаны:

фиг.1 - блок-схема функционирования способа анализа информационного потока на основе адаптивного прогнозирования и весовых коэффициентов критических параметров сетевого трафика;

фиг.2 - структурная схема устройства анализа информационного потока на основе адаптивного прогнозирования и весовых коэффициентов критических параметров сетевого трафика;

фиг.3 - структурная схема блока выделения параметров;

фиг.4 - структурные схемы блока сравнения IP-адресов, блока SYN/FIN, блока интенсивности, блока нагрузки и блока достоверности;

фиг.5 - схема алгоритма работы блока управления;

фиг.6 - схема алгоритма работы функции предсказания блока управления;

фиг.7 - схема алгоритма работы функции анализа признаков аномального трафика и расчет параметров состояния сети;

фиг.8 - схема алгоритма работы функции идентификации параметров состояния сети.

Под аномальным трафиком в контексте данного изобретения понимаются значения характеристических параметров трафика, выделяемых из информационного потока, превышающие некоторые заданные пороговые значения

Блок-схема функционирования способа анализа информационного потока на основе адаптивного прогнозирования и весовых коэффициентов критических параметров сетевого трафика показана на фиг.1.

Сущность способа заключается в следующем. На первом этапе осуществляется выделение из информационного потока пакетов, передаваемых по протоколу TCP. Затем, на втором этапе происходит анализ параметров выделенных пакетов и формирование признаков аномального трафика. После этого полученные признаки аномального трафика нормируются для их равноценного учета при осуществлении процесса принятия решения. После нормирования запускается механизм адаптивного предсказания временных рядов с использованием градиентного метода коррекции весовых коэффициентов критических параметров сетевого трафика. Данный механизм на основе текущих значений нормированных признаков аномального трафика и ряда предыдущих значений формирует прогнозируемые значения и после затем выделяет наихудший вариант. После этого значения, полученные в результате выделения наихудшего варианта, передаются в блок управления, где по заданным критериям осуществляется процесс принятия решения по отображению текущего состояния сети.

На первом этапе в представленном на фигуре 1 блоке 101 осуществляется выделение параметров информационного потока. В частности, проверяется наличие в информационном потоке протокола TCP. Далее, в блоке 102 осуществляется извлечение характеристических параметров, т.е. из анализируемых пакетов извлекаются IP-адрес отправителя и получателя, значение поля TTL, флаги заголовка TCP, общий размер пакета.

Выделение параметров может осуществляться путем побитного считывания данных из информационного потока, поступающего с демодулирующего устройства (канального контроллера).

После выделения характеристических параметров осуществляется их анализ. Анализ может осуществляться как последовательно, так и параллельно.

На фигуре 1 в блоках 104-105 осуществляется анализ IP-адреса на предмет аномальных значений, например, таких как совпадение IP-адреса отправителя и получателя.

В блоке 106 фигуры 1 осуществляется расчет и запись отношения числа пакетов TCP с установленными флагами SYN и FIN в единицу времени.

В блоке 107 фигуры 1 осуществляется расчет и запись интенсивности обмена пакетами TCP, то есть количества пакетов в единицу времени.

В блоке 108 фигуры 1 осуществляется расчет и запись количества пакетов TCP, приходящих в единицу времени.

В блоке 109 фигуры 1 осуществляется запись информации о соотношении количества пакетов, получивших отказ, к общему количеству поступивших пакетов.

После выделения и расчета характеристических параметров, выполняемых в блоках 104-109, полученные данные нормируются в блоке 13 фигуры 1. Нормирование данных предназначено для равноценного учета характеристических параметров в процессе принятия решения и осуществляется путем деления на заданные нормирующие величины, задаваемые путем анализа статистических данных.

После нормирования характеристических параметров производится их анализ и расчет прогнозируемых значений признаков аномального трафика, определение наихудших значений по сравнению с текущими рассчитанными параметрами, перерасчет весовых коэффициентов адаптивной модели прогнозирования.

Действия, указанные в блоках 113, 114 и 115, выполняются в блоке управления предлагаемого устройства. Схема блока управления представлена на фигуре 5.

Анализ и расчет прогнозируемых значений признаков аномального трафика, определение наихудших значений характеристических параметров по сравнению с текущими рассчитанными признаками, а также перерасчет весовых коэффициентов более детально изображен на блок-схеме фигуры 6. Алгоритм прогнозирования значений характеристических параметров известен и построен на основе адаптации коэффициентов модели авторегрессии в прогнозировании временных рядов (например, смотри Лукашин Ю.П. Адаптивные методы краткосрочного прогнозирования временных рядов / Ю.П. Лукашин. - М.: Финансы и статистика, 2003. - 416 с. с ил., стр.93-97), однако алгоритм прогнозирования может быть выбран и иной, в зависимости от статистических свойств анализируемого информационного потока и анализируемых характеристических параметров. С учетом рассчитанных значений характеристических параметров и полученных спрогнозированных значений осуществляется выбор наихудшего варианта в блоках 617, 618, 619 фигуры 6.

Полученные значения для каждого характеристического признака передаются на вход алгоритма анализа и расчета параметров состояния сети связи, представленного на фигуре 7. Работа данного алгоритма представлена блоками 115, 116 фигуры 1. В основе расчета параметров состояния сети лежит сравнение полученных или спрогнозированных значений характеристических параметров с пороговыми. При этом для каждого характеристического признака выбран свой диапазон пороговых значений, которые позволяют различить уровень угроз в конкретной обстановке. Значения порогов представлены в блоках 703, 704,705, 707, 711, 712, 721, 714, 715, 717, 723, 724 фигуры 7. В результате работы описанного алгоритма определяются значения параметров состояния среды, которое используются для отображения в блоке 116 фигуры 1.

Особенностью предлагаемого способа является использование механизма адаптивного предсказания временных рядом с использованием градиентного метода коррекции весовых коэффициентов и последующим выбором наихудших значений между текущими значениями характеристических параметров состояния сети и спрогнозированными.

Осуществление заявленного способа может быть реализовано с помощью предлагаемого устройства анализа информационного потока на основе адаптивного прогнозирования и весовых коэффициентов критических параметров сетевого трафика, показанное на фиг.2. Предлагаемое устройство содержит блок выделения параметров 1, блок сравнения адресов IP 2, блок SYN/FIN 3, блок интенсивности 4, блок нагрузки 5, блок потерь 6, блок достоверности 7, блок управления 8, блок индикации 9.

Вход блока выделения параметров 1 является информационным входом устройства, а третий и четвертый выходы подключены соответственно к первому и второму входам блока SYN/FIN 3. Первый и второй выходы подключены соответственно к первому и второму входам блока сравнения IP адресов 2. Первый и второй выходы блока управления 8 подключены к первому и второму входам блока выделения параметров 1. Первые и вторые входы блоков интенсивности 4, нагрузки 5 подключены соответственно к пятому, шестому и седьмому, восьмому выходам блока выделения параметров 1, а первый, второй, третий входы блока достоверности 7 подключены соответственно к девятому, десятому и одиннадцатому выходам блока выделения параметров 1. Двенадцатый выход блока выделения параметров 1 подключен к девятнадцатому входу блока индикации 9. Входом блока потерь 6 является статистическая информация о соотношении числа пакетов, получивших отказ к общему числу пришедших пакетов. Первый выход блока SYN/FIN 3, выходы блока интенсивности 4, блока нагрузки 5 и блока потерь 6 подключены соответственно к первому, второму, третьему и четвертому входам блока управления 8. Выход блока достоверности 7 подключен к восемнадцатому входу блока индикации 9, а выходы блока управления с третьего по восемнадцатый включительно подключены соответственно к входам блока индикации 9 со второго по семнадцатый включительно. Выход блока сравнения IP адресов 2 подключен к первому входу блока индикации 9.

Блок выделения параметров предназначен для определения наличия протокола TCP в информационном потоке, его анализа и подачи извлеченных характеристических параметров (IP адресов отправителя и получателя, значения поля TTL, установления флагов в заголовке пакета TCP, общего размера пакета) на вход остальных блоков. Его структурная схема представлена на фиг.3

Первый блок памяти 1.1 предназначен для хранения и последующего считывания с него на первый 1.2, восьмой 1.15 счетчики, второй 1.6, третий 1.8, четвертый 1.12, пятый 1.14 блоки памяти, второй 1.10, третий 1.16, четвертый 1.17, пятый 1.18 блоки дешифрации байтов данных пакетов, поступающих с демодулирующего устройства (канального контроллера) и подачи команды об окончании записи пришедших данных пакета на первый счетчик 1.2.

Первый счетчик 1.2 отсчитывает 14 байт в цифровой последовательности для определения пакета IP.

Первый блок дешифрации 1.3 предназначен для определения в последовательности поступающих данных протокола IP и подачи управляющего сигнала на блок достоверности.

Второй счетчик 1.4 предназначен для отсчета 4 бит для обнаружения поля длины заголовка пакета.

Третий счетчик 1.5 предназначен для отсчета 12 бит для нахождения общего размера IP пакета и подачи управляющего сигнала разрешения записи этого значения во второй блок памяти 1.6.

Второй блок памяти 1.6 предназначен для записи в него и хранения общего размера пакета IP и выдачи этого значения на блок интенсивности.

Четвертый счетчик 1.7 предназначен для отсчета 6 байт для нахождения значения поля TTL пакета и подачи управляющего сигнала о разрешении его записи в третий блок памяти 1.8.

Третий блок памяти 1.8 предназначен для записи в него и хранения значения поля TTL пакета IP и выдачи этого значения на блок достоверности 7.

Пятый счетчик 1.9 предназначен для отсчета 1 байта для нахождения значения поля, обозначающего протокол вышестоящего уровня, пакета и подачи управляющего сигнала о разрешении его записи во второй блок дешифрации 1.10.

Второй блок дешифрации 1.10 служит для определения числового значения «шесть» в десятичном виде, т.е. определения протокола TCP и подачи управляющего сигнала «1» на шестой счетчик 1.11, на блоки нагрузки и интенсивности.

Шестой счетчик 1.11 предназначен для отсчета 5 байт для нахождения двух последних байт адреса отправителя IP пакета и подачи управляющего сигнала разрешения записи этого значения в четвертый блок памяти 1.12.

Четвертый блок памяти 1.12 предназначен для записи в него и хранения значения двух последних байт адреса отправителя пакета IP и выдачи этого значения на блоки достоверности 7 и сравнения IP адресов 2.

Седьмой счетчик 1.13 предназначен для отсчета 4 байт для нахождения двух последних байт адреса получателя IP пакета и подачи управляющего сигнала разрешения записи этого значения в пятый блок памяти 1.14.

Пятый блок памяти 1.14 предназначен для записи в него и хранения значения двух последних байт адреса получателя пакета I и выдачи этого значения на блок сравнения IP адресов 2.

Восьмой счетчик 1.15 предназначен для нахождения байта флагов заголовка TCP и выдачи этого байта в третий 1.16, четвертый 1.17 и пятый 1.18 блоки дешифрации.

Третий блок дешифрации 1.16 предназначен для определения случая установки флага SYN в заголовке TCP и подачи управляющего сигнала на блок SYN/FIN 3.

Четвертый блок дешифрации 1.17 предназначен для определения случая установки флага FIN в заголовке TCP и подачи управляющего сигнала на блок SYN/FIN 3.

Пятый блок дешифрации 1.18 предназначен для определения случая аномальной совместной установки флагов SYN и FIN в заголовке TCP и подачи управляющего сигнала на блок управления 8.

Блок сравнения IP адресов 2 предназначен для выявления аномального выставления IP адресов в пакетах TCP и подачи сигнала об этом в блок индикации 9. Вариант схемы блока сравнения IP адресов 2 представлен на фиг.4.

Блок SYN/FIN 3 предназначен для расчета соотношения числа пакетов TCP с установленными флагами SYN и FIN и выдачи этого значения на блок нормировки 8. Вариант схемы блока SYN/FIN представлен на фиг.4.

Блок интенсивности 4 предназначен для расчета интенсивности информационного обмена пакетов TCP и выдачи этого значения на блок управления 8. Вариант схемы данного блока представлен на фиг.4.

Блок нагрузки 5 предназначен для расчета количества приходящих в единицу времени пакетов TCP и выдачи этого значения на блок управления 8. Вариант схемы данного блока представлен на фиг.4.

Блок потерь 6 предназначен для хранения поступающей на него статистической информации о соотношении числа пакетов, получивших отказ к общему числу пришедших пакетов, и выдачи этого значения на блок управления 8.

Блок достоверности 7 предназначен для выработки сигнала об обнаружении недостоверного IP адреса полученного пакета и подачи этого сигнала на блок индикации 9. Вариант схемы блока достоверности 7 представлен на фиг.4.

Блок управления 8 предназначен для

- нормирования числовых значений величин характеристических параметров для их равноценного учета в процессе анализа состояния сети;

- формирования прогнозируемых числовых значений величин характеристических параметров на основе ряда предыдущих значений с использованием метода адаптивного предсказания временных рядов на основе градиентного метода коррекции весовых коэффициентов временного ряда;

- выбора наихудшего вариант при сравнении сформированных прогнозируемых значений и полученных текущих нормированных входных величин;

- принятия решения о состоянии сети в данный момент времени;

- определения состояния каждого из характеристических параметров 4;

- выдачи результатов на блок индикации 9

- подачи управляющих сигналов «стирание» и «запись» на первый блок памяти 1.1 для разрешения считывания следующего пакета информации.

Вариант схемы блока управления и алгоритмы работы представлены на фигурах 5, 6, 7 и 8.

Блок индикации 9 предназначен для визуального отображения принятого решения о состоянии сети в конкретный момент времени, состоянии каждого из исследуемых характеристических параметров, отклонения параметра достоверности, аномальности выставления флагов SYN и FIN, IP адресов отправителя. Схемы индикаторов известны и описаны, например, в книге Вениаминов В.Н., Лебедев О.Н., Мирошниченко А.И. Микросхемы и их применение: Справочное пособие. - М.: Радио и связь, 1989, стр.197, рис.7.1.

Первый 1.1, второй 1.6, третий 1.8, четвертый 1.12, пятый 1.14 блоки памяти могут быть реализованы на микросхемах ОЗУ К185РУ4 (Справочник по интегральным микросхемам / Б.В. Тарабрин, С.В. Якубовский, Н.А. Баранов и др.; Под ред. Б.В. Тарабрина. - 2-е изд., перераб. и доп. - М.: Энергия, 1980. - с.215).

Схемы первого 1.2, второго 1.4, третьего 1.5, четвертого 1.7, пятого 1.9, шестого 1.11, седьмого 1.13, восьмого 1.15 счетчиков известны и описаны, например, на фиг.6, 7, 8 патент РФ №2219577, МПК G06F 17/40 и могут быть реализованы на элементах И, счетчиках и дешифраторах. Схемы элементов И известны и описаны, например, в книге Шило В.Л. Популярные цифровые микросхемы: Справочник. - М.: Радио и связь, 1987, стр.40, рис.1.23. В частности, такая схема может быть реализована на микросхеме К555ЛИ2. Счетчики могут быть реализованы на микросхемах серии К555, см., например, Шило В.Л. Популярные цифровые микросхемы: Справочник. - М.: Радио и связь, 1987, стр.90, рис.1.66. Дешифратор может быть реализован на микросхемах дешифраторов, имеющих четыре разряда, см., например, Шило В.Л. Популярные цифровые микросхемы: Справочник. - М.: Радио и связь, 1987. стр.133, рис.1.95. В частности, такая схема может быть реализована на микросхеме К555ИДЗ.

Схемы первого 1.3, второго 1.10, третьего 1.16, четвертого 1.17, пятого 1.18 блоков дешифрации известны (см., например, фиг.2 и фиг.3 патента РФ №2219577, МПК G06F 17/40) и могут быть реализованы на элементах И, дешифраторах и элементах И-НЕ. Схемы элементов И известны и описаны, например, в книге Шило В.Л. Популярные цифровые микросхемы: Справочник. - М.: Радио и связь. 1987, на стр.40, рис.1.23. В частности, такая схема может быть реализована на микросхеме К555ЛР12. В качестве дешифраторов могут быть использованы микросхемы серии 555. например, К555ИД10 (Шило В.Л. Популярные цифровые микросхемы: Справочник. - М.: Радио и связь, 1987. стр.137, рис.1.98). В качестве элемента И-НЕ может быть использована, например, микросхема К155ЛАЗ (Шило В.Л. Популярные цифровые микросхемы: Справочник. - М.: Радио и связь, 1987, стр.41, рис.1.24).

Блок сравнения IP адресов содержит компаратор 2.1. Схема компараторов для сравнения двух N-разрядных слов известна и описана в книге Шило В.Л. Популярные цифровые микросхемы: Справочник - М.: Радио и связь, 1987, стр.183-184, 187, рис.1.135. Он может быть реализован на микросхемах К555СП1.

Блок SYN/FIN содержит делитель 3.1, который может быть реализован на микросхеме КР1802ВР2 (например, смотри Н.Н. Аверьянов, А.И. Березенко, Ю.И. Борщенко и др., «Микропроцессоры и микропроцессорные комплекты интегральных микросхем»: Справочник: В 2т.; под ред. В.А. Шахнова. - М.: Радио и связь, 1988. - Т.2, стр.61-70).

Блок интенсивности содержит сумматор 4.2 со временем суммирования ΔT, делитель на ΔT 4.3, блок переключения 4.1. Сумматор 4.2 может быть построен на программируемых интервальных таймерах и накапливающих сумматорах, типа аккумуляторов. Схемы программируемых интервальных таймеров известны и описаны, например, смотри Угрюмов Е.П. «Цифровая схемотехника»: Справочное пособие. - СПб.: БХВ-Петербург, 2004, стр.348-355, рис.6.29. В частности, такая схема может быть реализована на микросхеме ВИ54 серии К1821 и К1860. Сумматоры могут быть реализованы на микросхемах К555ИМ3, например, смотри Угрюмов Е.П. «Цифровая схемотехника»: Справочное пособие. - СПб.: БХВ-Петербург, 2004, стр.77-85, рис.2.24, 2.28. Схемы элементов ИЛИ известны, например, описаны в книге Якубовский С.В. «Цифровые и аналоговые интегральные микросхемы»: Справочник. - М.: Радио и связь, 1990, стр.78, рис.167. В частности, такая схема может быть реализована на микросхеме К555ЛП2. Блок переключения 4.1 может быть реализован на мультиплексорах и демультиплексорах, схемы которых известны, например, смотри Угрюмов Е.П. «Цифровая схемотехника»: Справочное пособие. - СПб.: БХВ-Петербург, 2004, стр.54-56, рис.2.9(б). В частности, он строится на элементах И-НЕ.

Блок нагрузки содержит сумматор 5.2 со временем суммирования ΔT, делитель на ΔT 5.3, блок переключения 5.1. Сумматор 5.2 может быть построен на программируемых интервальных таймерах и накапливающих сумматорах, типа аккумуляторов. Схемы программируемых интервальных таймеров известны и описаны, например, смотри Угрюмов Е.П. «Цифровая схемотехника»: Справочное пособие. - СПб.: БХВ-Петербург, 2004, стр.348-355, рис.6.29. В частности, такая схема может быть реализована на микросхеме ВИ54 серии К1821 и К1860. Сумматоры могут быть реализованы на микросхемах К555ИМ3, например, смотри Угрюмов Е.П. «Цифровая схемотехника»: Справочное пособие. - СПб.: БХВ-Петербург, 2004, стр.77-85, рис.2.24, 2.28. Схемы элементов ИЛИ известны, например, описаны в книге Якубовский С.В. «Цифровые и аналоговые интегральные микросхемы»: Справочник. - М.: Радио и связь, 1990, стр.78, рис.167. В частности, такая схема может быть реализована на микросхеме К555ЛП2. Блок переключения 5.1 может быть реализован на мультиплексорах и демультиплексорах, схемы которых известны, например, смотри Угрюмов Е.П. «Цифровая схемотехника»: Справочное пособие. - С