+

RU2566331C1 - Device for detecting computer attacks in routes - Google Patents

Device for detecting computer attacks in routes Download PDF

Info

Publication number
RU2566331C1
RU2566331C1 RU2014126771/08A RU2014126771A RU2566331C1 RU 2566331 C1 RU2566331 C1 RU 2566331C1 RU 2014126771/08 A RU2014126771/08 A RU 2014126771/08A RU 2014126771 A RU2014126771 A RU 2014126771A RU 2566331 C1 RU2566331 C1 RU 2566331C1
Authority
RU
Russia
Prior art keywords
unit
control
output
input
information
Prior art date
Application number
RU2014126771/08A
Other languages
Russian (ru)
Inventor
Казар Володяевич Аветисян
Александр Сергеевич Лаута
Олег Сергеевич Лаута
Оксана Михайловна Лукина
Дмитрий Евгеньевич Харченко
Original Assignee
Федеральное государственное казенное военное образовательное учреждение высшего профессионального образования "ВОЕННАЯ АКАДЕМИЯ СВЯЗИ имени Маршала Советского Союза С.М. Буденного" Министерства обороны Российской Федерации
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Федеральное государственное казенное военное образовательное учреждение высшего профессионального образования "ВОЕННАЯ АКАДЕМИЯ СВЯЗИ имени Маршала Советского Союза С.М. Буденного" Министерства обороны Российской Федерации filed Critical Федеральное государственное казенное военное образовательное учреждение высшего профессионального образования "ВОЕННАЯ АКАДЕМИЯ СВЯЗИ имени Маршала Советского Союза С.М. Буденного" Министерства обороны Российской Федерации
Priority to RU2014126771/08A priority Critical patent/RU2566331C1/en
Application granted granted Critical
Publication of RU2566331C1 publication Critical patent/RU2566331C1/en

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

FIELD: radio engineering, communication.
SUBSTANCE: device for detecting computer attacks in routes comprises counters (2, 5, 7, 9, 10, 14, 16, 18), decoding units (3, 4, 8, 11, 12, 15, 17, 19), comparator units (13, 28), a central control unit (30), a control unit (24), a display unit (25) and memory units (1, 6, 26, 29, 31). The first memory unit (1) is provided with an input message bus, and its data output is connected to the first data input of the first (3), third (8), fourth (11), fifth (12), sixth (15), seventh (17) and eighth (19) decoding units, the control outputs of which are connected to corresponding control inputs of the control unit, the control outputs of which are connected to the display unit and to the first memory unit. The control outputs of the counters are connected to the control inputs of the corresponding decoding units. The data outputs of the fourth (11) and fifth (12) decoding units are connected to the first comparator unit (13), the data output of which is connected to the third memory unit (26). The data input of the fifth memory unit (31) is connected to the data output of the second comparator unit (28). The control input of the central control unit of the transmitting device (30) is connected to the data output of the fifth memory unit (31). The control inputs of the third memory unit (26), fourth memory unit (29) and fifth memory unit (31) are combined and are the control input of the device.
EFFECT: high reliability of detecting computer attacks in routes of data telecommunications networks.
6 dwg

Description

Изобретение относится к области электросвязи и предназначено для использования в технических средствах защиты с целью оперативного выявления компьютерных атак в доверенных маршрутах передачи пакетов сообщений.The invention relates to the field of telecommunications and is intended for use in technical means of protection for the rapid detection of computer attacks in trusted transmission routes of message packets.

Известно устройство защиты информационных ресурсов вычислительной сети по патенту РФ №2313127, опубл. 20.12.2007. Устройство-аналог состоит из серверов с блоками памяти, промежуточной памяти, коммутатора, коннекторов, линий обмена данными и блока управления.A device for protecting information resources of a computer network according to the patent of the Russian Federation No. 2313127, publ. 12/20/2007. An analog device consists of servers with memory blocks, intermediate memory, a switch, connectors, data lines and a control unit.

Недостатком указанного способа является отсутствие возможности выявления компьютерных атак, направленных на ввод ложной информации в пакеты сообщений.The disadvantage of this method is the inability to detect computer attacks aimed at entering false information into message packets.

Известно устройство защиты информации от несанкционированного доступа для компьютеров информационно-вычислительных систем по патенту РФ №2321055, опубл. 27.03.2008. Устройство-аналог состоит из контроллера обмена информацией с внешним носителем информации, контроллера обмена информацией с компьютером, процессора идентификации и аутентификации пользователей, блока энергонезависимой памяти, модуля блокировки общей шины управления и обмена данными компьютера, устройства контроля питания, блока интерфейсов внешних устройств, модуля блокирования внешних устройств, аппаратного датчика случайных чисел, микроконтроллера датчиков вскрытия и извлечения компонентов компьютера с собственным независимым источником питания, оперативного запоминающего устройства, модуля постоянной аутентификации пользователя, модуля проверки целостности и состояния аппаратных компонентов устройства защиты, модуля управления загрузкой ключей аппаратного шифратора, модуля управления сетевыми адаптерами, модуля взаимодействия с системой разграничения доступа и модуля взаимодействия с серверами информационно-вычислительной системы.A device for protecting information from unauthorized access for computers of information-computing systems according to the patent of the Russian Federation No. 2321055, publ. 03/27/2008. An analog device consists of a controller for exchanging information with an external storage medium, a controller for exchanging information with a computer, a user identification and authentication processor, a non-volatile memory unit, a common control and data exchange module blocking module for a computer, a power control device, an external device interface unit, a blocking module external devices, hardware random number sensor, microcontroller of tamper sensors and extract computer components with their own independent m power supply, random access memory device, module for continuous user authentication, module for checking the integrity and condition of hardware components of the protection device, module for managing keys for encryptor loading keys, module for managing network adapters, module for interacting with an access control system, and module for interacting with servers of an information-computing system .

Недостатком указанного способа является узкая область применения, обусловленная тем, что несмотря на возможность обнаружения несанкционированного доступа к компьютерам в нем не предусмотрена возможность предотвращения удаленных компьютерных атак.The disadvantage of this method is the narrow scope, due to the fact that despite the possibility of detecting unauthorized access to computers, it does not provide the ability to prevent remote computer attacks.

Наиболее близким аналогом (прототипом) по своей технической сущности к заявленному устройству обнаружения удаленных компьютерных атак является устройство поиска информации по патенту РФ №2301443, опубл. 20.06.2007.The closest analogue (prototype) in its technical essence to the claimed device for detecting remote computer attacks is an information retrieval device according to the patent of the Russian Federation No. 2301443, publ. 06/20/2007.

Устройство-прототип состоит из блока памяти, вход которого является входом устройства, а выход подключен к информационному входу первого блока дешифрации, второй вход которого подключен к первому счетчику, а выход - к входу второго счетчика, первый выход которого соединен с вторым входом второго блока дешифрации, первый вход которого подключен к выходу первого блока памяти, выход второго блока дешифрации соединен с входом второго блока памяти, а выход второго счетчика через третий счетчик соединен с первым входом третьего блока дешифрации, второй вход которого подключен к выходу первого блока памяти, первый и второй выходы третьего блока дешифрации подключены через четвертый и пятый счетчики соответственно к первым входам четвертого и пятого блоков дешифрации, вторые входы которых соединены с выходом первого блока памяти, а выходы четвертого и пятого блоков дешифрации подключены соответственно к первому и второму входам первого блока сравнения, входы блока управления подключены к второму выходу первого блока дешифрации, к третьему выходу третьего блока дешифрации, к второму выходу первого блока сравнения, к второму выходу шестого блока дешифрации, к первому выходу седьмого блока дешифрации, к выходу восьмого блока дешифрации, к выходу девятого блока дешифрации, к первому выходу десятого блока дешифрации, к двум выходам одиннадцатого блока дешифрации, а одиннадцатый выход блока управления подключен к входу первого счетчика и к первому блоку памяти, причем выход второго блока памяти соединен с первым входом шестого счетчика, второй вход которого подключен к выходу первого блока сравнения, а его выход - к входу шестого блока дешифрации, первый выход которого соединен с входом седьмого счетчика, выход которого подключен к входу седьмого блока дешифрации, второй выход которого соединен с входом восьмого счетчика, а выход восьмого счетчика подключен к первому входу восьмого, девятого и десятого блоков дешифрации, вторые входы каждого из которых соединены с выходом первого блока памяти, к которому также подключены вторые входы седьмого, шестого и одиннадцатого блоков дешифрации, причем второй выход десятого блока дешифрации соединен с входом девятого счетчика, выход которого подключен к первому входу одиннадцатого блока дешифрации.The prototype device consists of a memory unit, the input of which is the input of the device, and the output is connected to the information input of the first decryption unit, the second input of which is connected to the first counter, and the output to the input of the second counter, the first output of which is connected to the second input of the second decryption unit , the first input of which is connected to the output of the first memory unit, the output of the second decryption unit is connected to the input of the second memory unit, and the output of the second counter through the third counter is connected to the first input of the third decoder unit and, the second input of which is connected to the output of the first memory block, the first and second outputs of the third decryption block are connected through the fourth and fifth counters, respectively, to the first inputs of the fourth and fifth decryption blocks, the second inputs of which are connected to the output of the first memory block, and the outputs of the fourth and fifth decryption units are connected respectively to the first and second inputs of the first comparison unit, the inputs of the control unit are connected to the second output of the first decryption unit, to the third output of the third decryption unit, to the second output of the first comparison block, to the second output of the sixth decryption block, to the first output of the seventh decryption block, to the output of the eighth decryption block, to the output of the ninth decryption block, to the first output of the tenth decryption block, to the two outputs of the eleventh decryption block, and the eleventh block output the control is connected to the input of the first counter and to the first memory unit, and the output of the second memory unit is connected to the first input of the sixth counter, the second input of which is connected to the output of the first comparison unit, and its output to the input of the sixth decryption unit, the first output of which is connected to the input of the seventh counter, the output of which is connected to the input of the seventh decryption unit, the second output of which is connected to the input of the eighth counter, and the output of the eighth counter is connected to the first input of the eighth, ninth and tenth decryption units, the second the inputs of each of which are connected to the output of the first memory block, to which the second inputs of the seventh, sixth and eleventh decryption units are also connected, and the second output of the tenth decryption unit is connected to the input ohm ninth counter whose output is connected to the first input of the eleventh block decryption.

Недостатком прототипа является относительно низкая достоверность обнаружения компьютерных атак из-за отсутствия возможности заблаговременно выявлять удаленные компьютерные атаки, направленные на ввод ложной информации в пакеты сообщений.The disadvantage of the prototype is the relatively low reliability of detection of computer attacks due to the lack of the ability to identify remote computer attacks in advance aimed at entering false information into message packets.

Целью изобретения является разработка устройства обнаружения в резервных доверенных маршрутах компьютерных атак, компьютерных атак, направленных на хищение, искажение и ввод ложной информации, а также перенаправление графика, обеспечивающего повышение достоверности обнаружения компьютерных атак за счет возможности заблаговременного их выявления.The aim of the invention is to develop a device for detecting in backup trusted routes computer attacks, computer attacks aimed at stealing, distorting and entering false information, as well as redirection of the schedule, providing increased reliability of detection of computer attacks due to the possibility of their early detection.

Поставленная цель достигается тем, что в известном устройстве обнаружения компьютерных атак в маршрутах, содержащем первый блок памяти, снабженный входной шиной сообщений, а его информационный выход подключен к первым информационным входам первого, третьего, четвертого, пятого, шестого, седьмого, восьмого блоков дешифрации, первый управляющий вход первого блока памяти подключен к управляющему входу первого счетчика, информационный выход которого подключен к второму информационному входу первого блока дешифрации, управляющий и информационный выходы которого подключены соответственно к первому управляющему входу блока управления и информационному входу второго счетчика, первый информационный выход которого подключен к информационному входу второго блока дешифрации, информационный выход которого подключен к информационному входу второго блока памяти, информационный выход которого подключен к первому информационному входу шестого счетчика, второй информационный вход которого подключен к второму информационному выходу первого блока сравнения, информационный выход шестого счетчика подключен к второму информационному входу шестого блока дешифрации, первый управляющий выход которого подключен к четвертому управляющему входу блока управления, пятый управляющий вход которого подключен к первому управляющему выходу седьмого блока дешифрации, второй информационный выход которого подключен к информационному входу восьмого счетчика, выход которого подключен к второму информационному входу восьмого блока дешифрации, первый управляющий выход которого подключен к шестому управляющему входу блока управления, второй и третий управляющие входы блока управления подключены соответственно к первому управляющему выходу третьего блока дешифрации и первому управляющему выходу первого блока сравнения, второй информационный вход которого подключен к выходу пятого блока дешифрации, второй информационный вход которого подключен к выходу пятого счетчика, информационный вход которого подключен к второму информационному выходу третьего блока дешифрации, третий информационный выход которого подключен к входу четвертого счетчика, выход которого подключен к второму информационному входу четвертого блока дешифрации, выход которого подключен к третьему информационному входу первого блока сравнения, второй информационный выход второго счетчика подключен к информационному входу третьего счетчика, информационный выход которого подключен к второму информационному входу третьего блока дешифрации, второй информационный выход шестого блока дешифрации подключен к входу седьмого счетчика, выход которого подключен к второму информационному входу седьмого блока дешифрации, первый, второй и третий управляющие выходы блока управления подключены соответственно к первому, второму управляющим входам первого блока памяти и к управляющему входу блока индикации, отличающееся тем, что дополнительно введены второй блок сравнения, блок центрального управления передающим устройством, третий, пятый и четвертый блоки памяти. Выход четвертого блока памяти подключен к второму информационному входу второго блока сравнения, первый информационный вход и первый управляющий выход которого подключены соответственно к второму информационному выходу восьмого блока дешифрации и седьмому управляющему входу блока управления. Четвертый управляющий выход блока управления подключен к первому управляющему входу блока центрального управления передающим устройством, второй информационный вход которого подключен к информационному выходу пятого блока памяти. Второй информационный вход пятого блока памяти подключен к второму информационному выходу второго блока сравнения. Информационный выход третьего блока памяти подключен к первому информационному входу первого блока сравнения. Причем управляющие входы третьего блока памяти, четвертого блока памяти и пятого блока памяти объединены и являются управляющим входом устройства.This goal is achieved by the fact that in the known device for detecting computer attacks in routes containing a first memory block equipped with an input message bus, and its information output is connected to the first information inputs of the first, third, fourth, fifth, sixth, seventh, eighth decryption units, the first control input of the first memory block is connected to the control input of the first counter, the information output of which is connected to the second information input of the first decryption unit, control and inform the output outputs of which are connected respectively to the first control input of the control unit and the information input of the second counter, the first information output of which is connected to the information input of the second decryption unit, the information output of which is connected to the information input of the second memory block, the information output of which is connected to the first information input of the sixth counter , the second information input of which is connected to the second information output of the first comparison unit, information the sixth counter move is connected to the second information input of the sixth decryption unit, the first control output of which is connected to the fourth control input of the control unit, the fifth control input of which is connected to the first control output of the seventh decryption unit, the second information output of which is connected to the information input of the eighth counter, the output of which connected to the second information input of the eighth decryption block, the first control output of which is connected to the sixth control input of the block control, the second and third control inputs of the control unit are connected respectively to the first control output of the third decryption unit and the first control output of the first comparison unit, the second information input of which is connected to the output of the fifth decryption unit, the second information input of which is connected to the output of the fifth counter, the information input of which connected to the second information output of the third decryption unit, the third information output of which is connected to the input of the fourth counter, the output to which is connected to the second information input of the fourth decryption unit, the output of which is connected to the third information input of the first comparison unit, the second information output of the second counter is connected to the information input of the third counter, the information output of which is connected to the second information input of the third decryption unit, the second information output of the sixth block decryption is connected to the input of the seventh counter, the output of which is connected to the second information input of the seventh decryption unit, p The first, second and third control outputs of the control unit are connected respectively to the first, second control inputs of the first memory unit and to the control input of the display unit, characterized in that a second comparison unit, a central control unit of the transmitting device, third, fifth and fourth memory units are additionally introduced . The output of the fourth memory unit is connected to the second information input of the second comparison unit, the first information input and the first control output of which are connected respectively to the second information output of the eighth decryption unit and the seventh control input of the control unit. The fourth control output of the control unit is connected to the first control input of the central control unit of the transmitting device, the second information input of which is connected to the information output of the fifth memory unit. The second information input of the fifth memory unit is connected to the second information output of the second comparison unit. The information output of the third memory unit is connected to the first information input of the first comparison unit. Moreover, the control inputs of the third memory block, the fourth memory block and the fifth memory block are combined and are the control input of the device.

Благодаря новой совокупности существенных признаков в заявленном устройстве за счет постоянного мониторинга доверенных маршрутов передачи пакетов сообщений на наличие компьютерных атак, направленных на хищение, искажение и ввод ложной информации, а также перенаправление трафика, представляется возможным более оперативно прогнозировать факт воздействия компьютерных атак (КА), что указывает на возможность повышения достоверности обнаружения компьютерных атак.Due to the new set of essential features in the claimed device due to the continuous monitoring of trusted routes for sending message packets for the presence of computer attacks aimed at stealing, distorting and entering false information, as well as redirecting traffic, it seems possible to more quickly predict the impact of computer attacks (SC), which indicates the possibility of increasing the reliability of detection of computer attacks.

Заявленное устройство поясняется чертежами, на которых показаны:The claimed device is illustrated by drawings, which show:

на фиг. 1 - структурная схема устройства обнаружения компьютерных атак в маршрутах;in FIG. 1 is a block diagram of a device for detecting computer attacks in routes;

на фиг. 2 - структурная схема блока управления;in FIG. 2 is a block diagram of a control unit;

на фиг 3 - блок-схема алгоритма работы устройства;in Fig 3 is a block diagram of the algorithm of the device;

на фиг. 4 - структура заголовка IP-пакета;in FIG. 4 - IP packet header structure;

на фиг. 5 - структура заголовка TCP-пакета;in FIG. 5 is a header structure of a TCP packet;

на фиг. 6 - зависимость вероятности передачи пакетов сообщений от объема передаваемых пакетов сообщений.in FIG. 6 - dependence of the probability of transmission of message packets on the volume of transmitted message packets.

Заявленное устройство обнаружения компьютерных атак в маршрутах, показанное на фиг. 1, состоит из первого (1), второго (6), третьего (26), четвертого (29) и пятого (31) блоков памяти, первого (2), второго (5), третьего (7), четвертого (9), пятого (10), шестого (14), седьмого (16) и восьмого (18) счетчиков, первого (3), второго (4), третьего (8), четвертого (11), пятого (12), шестого (15), седьмого (17) и восьмого (19) блоков дешифрации, первого (13) и второго (28) блоков сравнения, центрального блока управления (30), блока управления (24) и блока индикации (25). Первый блок памяти 1 снабжен входной шиной сообщений, а его информационный выход 1.3 подключен к первым информационным входам первого 3, третьего 8, четвертого 11, пятого 12, шестого 15, седьмого 17, восьмого 19 блоков дешифрации. Первый управляющий вход 1.1 первого блока памяти 1 подключен к управляющему входу 2.1 первого счетчика 2, информационный выход 2.2 которого подключен к второму информационному входу 3.2 первого блока дешифрации 3, управляющий 3.3 и информационный 3.4 выходы которого подключены соответственно к первому управляющему входу 24.1 блока управления 24 и информационному входу 5.1 второго счетчика 5. Первый информационный выход 5.2 второго счетчика 5 подключен к информационному входу 4.1 второго блока дешифрации 4, информационный выход 4.2 которого подключен к информационному входу 6.1 второго блока памяти 6, информационный выход 6.2 которого подключен к первому информационному входу 14.1 шестого счетчика 14. Второй информационный вход 14.2 шестого счетчика 14 подключен к второму информационному выходу 13.5 первого блока сравнения 13, информационный выход 14.3 шестого счетчика 14 подключен к второму информационному входу 15.2 шестого блока дешифрации 15, первый управляющий выход 15.3 которого подключен к четвертому управляющему входу 24.4 блока управления 24, пятый управляющий вход 24.5 которого подключен к первому управляющему выходу 17.3 седьмого блока дешифрации 17. Второй информационный выход 17.4 блока дешифрации 17 подключен к информационному входу 18.1 восьмого счетчика 18, выход 18.2 которого подключен к второму информационному входу 19.2 восьмого блока дешифрации 19, первый управляющий выход 19.3 которого подключен к шестому 24.6 управляющему входу блока управления 24, второй 24.2 и третий 24.3 управляющие входы которого подключены соответственно к первому управляющему выходу 8.3 третьего блока дешифрации 8 и первому управляющему выходу 13.4 первого блока сравнения 13. Второй информационный вход 13.2 первого блока сравнения 13 подключен к выходу 12.3 пятого блока дешифрации 12, второй информационный вход 12.2 которого подключен к выходу 10.2 пятого счетчика 10, информационный вход 10.1 которого подключен к второму информационному выходу 8.4 третьего блока дешифрации 8, третий информационный выход 8.5 которого подключен к входу 9.1 четвертого счетчика 9, выход 9.2 которого подключен к второму информационному входу 11.2 четвертого блока дешифрации 11, выход 11.3 которого подключен к третьему информационному входу 13.3 первого блока сравнения 13. Второй информационный выход 5.3 второго счетчика 5 подключен к информационному входу 7.1 третьего счетчика 7, информационный выход 7.2 которого подключен к второму информационному входу 8.2 третьего блока дешифрации 8. Второй информационный выход 15.4 шестого блока дешифрации 15 подключен к входу 16.1 седьмого счетчика 16, выход 16.2 которого подключен к второму информационному входу 17.2 седьмого блока дешифрации 17. Первый 24.8, второй 24.9 и третий 24.10 управляющие выходы блока управления 24 подключены соответственно к первому 1.1 и второму 1.2 управляющим входам первого блока памяти 1 и к управляющему входу 25.1 блока индикации 25. Выход 29.2 четвертого блока памяти 29 подключен к второму информационному входу 28.2 второго блока сравнения 28, первый информационный вход 28.1 и первый управляющий выход 28.3 которого подключены соответственно к второму информационному выходу 19.4 восьмого блока дешифрации 19 и седьмому управляющему входу 24.7 блока управления 24. Четвертый управляющий выход 24.11 блока управления 24 подключен к первому управляющему входу 30.1 блока центрального управления передающим устройством 30, второй информационный вход 30.2 которого подключен к информационному выходу 31.3 пятого блока памяти 31. Второй информационный вход 31.2 пятого блока памяти 31 подключен к второму информационному выходу 28.4 второго блока сравнения 28. Информационный выход 26.1 третьего блока памяти 26 подключен к первому информационному входу 13.1 первого блока сравнения 13. Причем управляющие входы 26.2 третьего блока памяти 26, 29.1 четвертого блока памяти 29 и 31.1 пятого блока памяти 31 объединены и являются управляющим входом устройства.The claimed device for detecting computer attacks in routes shown in FIG. 1, consists of the first (1), second (6), third (26), fourth (29) and fifth (31) memory blocks, the first (2), second (5), third (7), fourth (9) , fifth (10), sixth (14), seventh (16) and eighth (18) counters, first (3), second (4), third (8), fourth (11), fifth (12), sixth (15 ), the seventh (17) and eighth (19) decryption units, the first (13) and second (28) comparison units, the central control unit (30), the control unit (24) and the display unit (25). The first memory unit 1 is equipped with an input message bus, and its information output 1.3 is connected to the first information inputs of the first 3, third 8, fourth 11, fifth 12, sixth 15, seventh 17, eighth 19 decryption units. The first control input 1.1 of the first memory block 1 is connected to the control input 2.1 of the first counter 2, the information output 2.2 of which is connected to the second information input 3.2 of the first decryption unit 3, the control 3.3 and information 3.4 of which outputs are connected respectively to the first control input 24.1 of the control unit 24 and information input 5.1 of the second counter 5. The first information output 5.2 of the second counter 5 is connected to information input 4.1 of the second decryption unit 4, information output 4.2 of which is connected to inf the formation input 6.1 of the second memory block 6, the information output 6.2 of which is connected to the first information input 14.1 of the sixth counter 14. The second information input 14.2 of the sixth counter 14 is connected to the second information output 13.5 of the first comparison unit 13, the information output 14.3 of the sixth counter 14 is connected to the second information the input 15.2 of the sixth decryption unit 15, the first control output 15.3 of which is connected to the fourth control input 24.4 of the control unit 24, the fifth control input 24.5 of which is connected to the first unit to the output 17.3 of the seventh decryption unit 17. The second information output 17.4 of the decryption unit 17 is connected to the information input 18.1 of the eighth counter 18, the output 18.2 of which is connected to the second information input 19.2 of the eighth decryption unit 19, the first control output of which 19.3 is connected to the sixth 24.6 control input of the unit control 24, second 24.2 and third 24.3 control inputs of which are connected respectively to the first control output 8.3 of the third decryption unit 8 and the first control output 13.4 of the first comparison unit 13. The second information input 13.2 of the first comparison unit 13 is connected to the output 12.3 of the fifth decryption unit 12, the second information input 12.2 of which is connected to the output 10.2 of the fifth counter 10, the information input 10.1 of which is connected to the second information output 8.4 of the third decryption unit 8, the third information output 8.5 of which is connected to input 9.1 of the fourth counter 9, output 9.2 of which is connected to the second information input 11.2 of the fourth decryption unit 11, output 11.3 of which is connected to the third information input 13.3 of the first comparison unit 13. The second information output 5.3 of the second counter 5 is connected to the information input 7.1 of the third counter 7, the information output 7.2 of which is connected to the second information input 8.2 of the third decryption unit 8. The second information output 15.4 of the sixth decryption unit 15 is connected to the input 16.1 of the seventh counter 16 the output 16.2 of which is connected to the second information input 17.2 of the seventh decryption unit 17. The first 24.8, second 24.9 and third 24.10 control outputs of the control unit 24 are connected respectively to the first 1.1 and second 1.2 to the control inputs of the first memory unit 1 and to the control input 25.1 of the display unit 25. The output 29.2 of the fourth memory unit 29 is connected to the second information input 28.2 of the second comparison unit 28, the first information input 28.1 and the first control output 28.3 of which are connected respectively to the second information output 19.4 the eighth decryption unit 19 and the seventh control input 24.7 of the control unit 24. The fourth control output 24.11 of the control unit 24 is connected to the first control input 30.1 of the central control unit transmitting m device 30, the second information input 30.2 of which is connected to the information output 31.3 of the fifth memory unit 31. The second information input 31.2 of the fifth memory unit 31 is connected to the second information output 28.4 of the second comparison unit 28. The information output 26.1 of the third memory unit 26 is connected to the first information input 13.1 of the first comparison unit 13. Moreover, the control inputs 26.2 of the third memory block 26, 29.1 of the fourth memory block 29 and 31.1 of the fifth memory block 31 are combined and are the control input of the device.

Входящие в устройство обнаружения компьютерных атак в маршрутах (УОКАМ) блоки имеют следующее назначение:The blocks included in the device for detecting computer attacks in routes (WOCAM) have the following purpose:

Первый 1 и второй 6 блоки памяти предназначены соответственно для хранения и последующего считывания с них байтов (битов) пакетов сообщений, поступающих с демодулирующего устройства и блока дешифрации.The first 1 and second 6 memory blocks are intended respectively for storing and subsequent reading from them bytes (bits) of message packets arriving from a demodulating device and a decryption unit.

Третий 26, четвертый 29 и пятый 31 блоки памяти предназначены для записи и хранения соответствующих эталонных значений параметров IP-адресов (отправителей и получателей) и поля «Опции», а также доверенных маршрутов.The third 26, fourth 29 and fifth 31 memory blocks are intended for recording and storing the corresponding reference values of IP address parameters (senders and recipients) and the Options field, as well as trusted routes.

Схемы их известны и описаны в патенте РФ №2115952 (фиг. 2).Their schemes are known and described in the patent of the Russian Federation No. 2115952 (Fig. 2).

Первый счетчик 2 предназначен для отсчета 14 байтов в цифровой последовательности для определения IP-пакета (фиг. 3) и выработки управляющего сигнала для первого блока дешифрации 3.The first counter 2 is designed to count 14 bytes in a numerical sequence to determine the IP packet (Fig. 3) and generate a control signal for the first decryption unit 3.

Второй счетчик 5 предназначен для отсчета 4 бит для обнаружения поля «Длина заголовка» пакета сообщения.The second counter 5 is designed to count 4 bits to detect the field "Length of the header" message packet.

Третий счетчик 7 предназначен для отсчета 8 байт с целью обнаружения 24-го байта пакета и выработки управляющего сигнала для третьего блока дешифрации 8.The third counter 7 is designed to count 8 bytes in order to detect the 24th byte of the packet and generate a control signal for the third decryption unit 8.

Четвертый счетчик 9 предназначен для отсчета 3 байт до первого байта поля адреса отправителя в заголовке IP-дейтаграммы и выработки управляющего сигнала для четвертого блока дешифрации 11.The fourth counter 9 is designed to count 3 bytes to the first byte of the sender address field in the header of the IP datagram and generate a control signal for the fourth decryption unit 11.

Пятый счетчик 10 предназначен для отсчета 4 байт до первого байта поля адреса получателя в заголовке IP-дейтаграммы и выработки управляющего сигнала для пятого блока дешифрации 12.The fifth counter 10 is designed to count 4 bytes to the first byte of the recipient address field in the header of the IP datagram and generate a control signal for the fifth decryption unit 12.

Шестой счетчик 14 предназначен для определения поля, содержащего номер порта отправителя пакета сообщения в заголовке TCP-пакета (фиг. 4).The sixth counter 14 is designed to determine the field containing the port number of the sender of the message packet in the header of the TCP packet (Fig. 4).

Седьмой счетчик 16 предназначен для определения поля, содержащего значение резервных битов заголовка TCP-пакета.The seventh counter 16 is used to determine the field containing the value of the reserve bits of the header of the TCP packet.

Восьмой счетчик 18 предназначен для определения поля «Опции» заголовка TCP-пакета и выработки управляющих сигналов для восьмого 20 блока дешифрации.The eighth counter 18 is used to determine the "Options" field of the TCP packet header and generate control signals for the eighth 20 decryption unit.

Схема счетчиков известны и описаны в патенте РФ №2219577 (фиг. 6).The counter scheme is known and described in the patent of the Russian Federation No. 2219577 (Fig. 6).

Первый блок дешифрации 3 предназначен для определения в последовательности поступающих данных протокола IP.The first decryption unit 3 is designed to determine the sequence of incoming IP protocol data.

Второй блок дешифрации 4 предназначен для определения значения «Длина заголовка».The second decryption unit 4 is intended to determine the value of the "Length of the header".

Третий блок дешифрации 8 предназначен для определения протокола TCP за счет выявления в 24-ом байте числового значения «шесть» в десятичном виде.The third decryption unit 8 is designed to determine the TCP protocol by identifying the numeric value “six” in decimal form in the 24th byte.

Четвертый 11 и пятый 12 блоки дешифрации предназначены для записи в них по четыре байта 27-30 и 31-34 полей адреса отправителя и адреса получателя соответственно.The fourth 11 and fifth 12 decryption blocks are designed to record four bytes 27-30 and 31-34 of the sender address and recipient address fields, respectively.

Шестой блок дешифрации 15 предназначен для определения записи 35 и 36 байтов и определяет числовое значение «ноль» (00) в десятичном виде.The sixth decryption unit 15 is designed to determine the record of 35 and 36 bytes and determines the numerical value of “zero” (00) in decimal form.

Седьмой блок дешифрации 17 предназначен для определения значения поля резервных бит.The seventh decryption unit 17 is designed to determine the value of the reserve bit field.

Восьмой блок дешифрации 19 предназначен для определения значения «Опции».The eighth decryption unit 19 is designed to determine the value of "Options".

Схема блоков дешифрации известны и описаны в патенте РФ №2219577 (фиг. 2).The scheme of decryption units is known and described in the patent of the Russian Federation No. 2219577 (Fig. 2).

Первый блок сравнения 13 предназначен для сравнения значений IP-адресов отправителя и получателя с соответствующими эталонными значениями и выработки управляющих сигналов на блок управления 24.The first comparison unit 13 is designed to compare the values of the IP addresses of the sender and receiver with the corresponding reference values and generate control signals to the control unit 24.

Второй блок сравнения 28 предназначен для сравнения значений поля «Опции» с соответствующими эталонными значениями и выработки управляющих сигналов на блок управления 24.The second comparison unit 28 is intended to compare the values of the “Options” field with the corresponding reference values and generate control signals to the control unit 24.

Схема компараторов известна и описана на рис. 1.134 стр. 185 в книге Шило В.Л. «Популярные цифровые микросхемы»: Справочник - М.: Радио и связь, 1987.The comparator circuit is known and described in Fig. 1.134 p. 185 in the book Shilo V.L. "Popular Digital Circuits": Reference - M .: Radio and communications, 1987.

Блок центрального управления передающим устройством (30) предназначен для формирования, накопления и хранения контрольных пакетов сообщений передаваемых по доверенным маршрутам.The central control unit of the transmitting device (30) is intended for the formation, accumulation and storage of control packets of messages transmitted along trusted routes.

Центральный блок управления 30 может быть реализован, например, на микропроцессоре (К580ИК80), РICконтроллере (PIC16C5X) или микроЭВМ (СОР800).The central control unit 30 can be implemented, for example, on a microprocessor (K580IK80), a PIC controller (PIC16C5X), or a microcomputer (SOR800).

Блок управления 24 предназначен для выработки управляющих сигналов при реализации требуемого алгоритма работы устройством обнаружения удаленных компьютерных атак. Схема блока управления 24 может быть реализована различным образом, в частности, как показано на фиг. 2.The control unit 24 is designed to generate control signals when implementing the required algorithm of the device for detecting remote computer attacks. The circuit of the control unit 24 may be implemented in various ways, in particular, as shown in FIG. 2.

Блок управления 24 содержит элементы ИЛИ 24.1 и 24.3, устройство задержки 24.2 и шифраторы 24.4-24.7. Схемы элементов ИЛИ известны и показаны на рис. 167 стр. 78 в книге Якубовский С. В. «Цифровые и аналоговые интегральные микросхемы»: Справочник. - М.: Радио и связь, 1990.The control unit 24 contains the elements OR 24.1 and 24.3, a delay device 24.2 and encoders 24.4-24.7. Schemes of OR elements are known and are shown in Fig. 167 p. 78 in the book Yakubovsky SV. “Digital and analog integrated circuits”: Reference. - M .: Radio and communications, 1990.

В качестве устройства задержки 24.2 может быть использована одна из известных микросхем, например, показанная на рис. 1.78 стр. 111 в книге Шило В.Л. «Популярные цифровые микросхемы»: Справочник - М: Радио и связь, 1987.As a delay device 24.2, one of the known microcircuits can be used, for example, shown in Fig. 1.78 p. 111 in the book Shilo V.L. “Popular Digital Chips”: Handbook - M: Radio and Communications, 1987.

В качестве шифраторов 24.4-24.7 может быть использована одна из известных микросхем, например, показанная на рис. 1.101 стр. 141 в книге Шило В.Л. «Популярные цифровые микросхемы»: Справочник - М.: Радио и связь, 1987.As encoders 24.4-24.7, one of the known microcircuits can be used, for example, shown in Fig. 1.101 p. 141 in the book Shilo V.L. "Popular Digital Circuits": Reference - M .: Radio and communications, 1987.

Блок индикации 25 предназначен для визуального отображения принятого решения. Схемы индикаторов известны и описаны на рис. 7.1 на стр. 197 в книге Вениаминов В.Н., Лебедев О.Н., Мирошниченко А.И. «Микросхемы и их применение»: Справочное пособие. - М.: Радио и связь, 1989.The display unit 25 is designed to visually display the decision. Indicator circuits are known and described in Fig. 7.1 on page 197 in the book Veniaminov V.N., Lebedev O.N., Miroshnichenko A.I. “Chips and their application”: Reference manual. - M.: Radio and Communications, 1989.

Разрядность шины «Входная шина сообщений» и «Выходная шина сообщений» определяется разрядностью анализируемых пакетов сообщений, в связи с тем, что устройство обрабатывает байты, шина является восьмиразрядной.The bus width “Input message bus” and “Output message bus” is determined by the bit depth of the analyzed message packets, due to the fact that the device processes bytes, the bus is eight-bit.

Заявленное УОКАМ работает следующим образом.The claimed UOCAM works as follows.

В исходном состоянии в оперативном запоминающем устройстве блока центрального управления передающим устройством сформирован необходимый для передачи контрольный пакет сообщения, а первый блок памяти в исходном состоянии готов к приему контрольных сообщений от других устройств обнаружения компьютерных атак в маршрутах. Каждые 6 минут соответствующие устройства, расположенные в информационно-телекоммуникационной сети, автоматически передают контрольные сообщения по всем доверенным маршрутам.In the initial state, the control packet of the message necessary for transmission is formed in the random access memory of the central control unit of the transmitting device, and the first memory block in the initial state is ready to receive control messages from other devices for detecting computer attacks in routes. Every 6 minutes, the corresponding devices located in the information and telecommunication network automatically transmit control messages along all trusted routes.

При получении с выхода блока управления 24 разрешения на запись (логическая «1») производится заполнение ячеек оперативного запоминающего устройства первого блока памяти 1 байтами контрольного пакета сообщений (КПС), поступившего с демодулирующего устройства (канального контроллера). После того как записаны все байты очередного КПС анализируемого протокола, на выходе блока управления 24 формируется разрешение на побайтное считывание информации (логический «0»).Upon receipt of write permission from the control unit 24 output (logical “1”), the cells of the random access memory of the first memory block are filled with 1 bytes of a control message packet (CPS) received from a demodulating device (channel controller). After all the bytes of the next KPS of the analyzed protocol are recorded, the output of the control unit 24 generates a permission for byte-by-line reading of information (logical “0”).

С выхода первого блока памяти 1 байты КПС последовательно поступают на информационные входы первого 3, второго 4, третьего 8, четвертого 11, пятого 12, шестого 15, седьмого 17, восьмого 19 блоков дешифрации.From the output of the first memory block, 1 KPS bytes are sequentially supplied to the information inputs of the first 3, second 4, third 8, fourth 11, fifth 12, sixth 15, seventh 17, eighth 19 decryption blocks.

При поступлении на вход 2.1 первого счетчика 2 сигнала с блока управления 24 (логический «0») считывается 14 байт для определения в сигнальной цифровой последовательности значения «шесть» (06) в десятичном виде, соответствующего наличию в КПС протокола IP. Необходимо отметить, что в заявке рассматривается формат КПС Ethernet 802.3 // LLC. (Кульгин М. Технологии корпоративных сетей. Энциклопедия. - СПб.: Издательство «Питер», 1999. - 704 с.).When 2.1 of the first counter 2 receives a signal from control unit 24 (logical “0”), 14 bytes are read to determine the value “six” (06) in decimal form in the signal digital sequence, which corresponds to the IP protocol in the KPS. It should be noted that the application discusses the KPS Ethernet 802.3 // LLC format. (Kulgin M. Technologies of corporate networks. Encyclopedia. - St. Petersburg: Publishing house "Peter", 1999. - 704 p.).

Если значение «шесть» не найдено, на первом выходе 3.3 первого блока дешифрации 3 формируется сигнал, поступающий на первый вход 24.1 блока управления 24.If the value of "six" is not found, at the first output 3.3 of the first decryption unit 3, a signal is generated that arrives at the first input 24.1 of the control unit 24.

На втором выходе 3.4 первого дешифратора 3 формируется управляющий сигнал, поступающий на второй счетчик 5, который отсчитывает 4 бита для обнаружения значения поля «Длина заголовка» и вырабатывает на первом выходе 5.2 управляющий сигнал разрешения записи этих бит во второй блок дешифрации 4, который служит для определения значения поля «Длина заголовка». На выходе второго блока дешифрации 4 формируется сигнал для записи значения поля «Длина заголовка» во второй блок памяти 6.At the second output 3.4 of the first decoder 3, a control signal is generated, which arrives at the second counter 5, which counts 4 bits to detect the value of the “Header Length” field and generates at the first output 5.2 a control signal for allowing these bits to be written to the second decryption unit 4, which serves to determine the value of the "Heading Length" field. At the output of the second decryption unit 4, a signal is generated to record the value of the “Header Length” field in the second memory unit 6.

На втором выходе 5.3 второго счетчика 5 формируется управляющий сигнал, поступающий на третий счетчик 7, который отсчитывает 8 байт для обнаружения 24-го байта пакета и вырабатывает управляющий сигнал разрешения записи этого байта в третий блок дешифрации 8. Блок дешифрации 8 предназначен для определения в этом байте числового значения «шесть» (06) в десятичном виде. В этом случае используемым протоколом является TCP (Кульгин М. Технологии корпоративных сетей. Энциклопедия. - СПб.: Издательство «Питер», 1999. - 704 с.).At the second output 5.3 of the second counter 5, a control signal is generated, which arrives at the third counter 7, which counts 8 bytes to detect the 24th byte of the packet and generates a control signal for writing this byte to the third decryption unit 8. The decryption unit 8 is designed to determine this Give the decimal number six. In this case, the protocol used is TCP (Kulgin M. Technologies of corporate networks. Encyclopedia. - St. Petersburg: Piter Publishing House, 1999. - 704 p.).

Если значение «шесть» не найдено, то на первом выходе 8.3 третьего блока дешифрации 8 формируется сигнал, поступающий на второй вход блока управления 24.If the value of "six" is not found, then at the first output 8.3 of the third decryption unit 8, a signal is generated that arrives at the second input of the control unit 24.

На третьем выходе 8.5 третьего блока дешифрации 8 формируется сигнал, поступающий на четвертый счетчик 9, который отсчитывает 3 байта до появления первого байта поля адреса отправителя в заголовке IP-дейтаграммы и вырабатывает на выходе 9.2 управляющий сигнал разрешения записи следующих четырех байтов сигнальных цифровых последовательностей (27-30) в четвертый блок дешифрации 11. На втором выходе 8.4 третьего блока дешифрации 8 формируется сигнал, поступающий на пятый счетчик 10, который отсчитывает 4 байта до первого поля адреса получателя в заголовке IP-дейтаграммы и вырабатывает на выходе 10.2 управляющий сигнал разрешения записи следующих четырех байтов сигнальных цифровых последовательностей (31-34) в пятый блок дешифрации 12.At the third output 8.5 of the third decryption unit 8, a signal is generated that arrives at the fourth counter 9, which counts 3 bytes until the first byte of the sender address field appears in the header of the IP datagram and generates at the output 9.2 a control signal for recording the next four bytes of signal digital sequences (27 -30) to the fourth decryption block 11. At the second output 8.4 of the third decryption block 8, a signal is generated that arrives at the fifth counter 10, which counts 4 bytes to the first field of the recipient address in the header An IP-datagram is generated and generates at the output 10.2 a control signal for recording the next four bytes of signal digital sequences (31-34) in the fifth decryption unit 12.

В первом блоке сравнения 13 выделенные значения параметров адресов сравниваются с соответствующими эталонными значениями, хранящимися в третьем блоке памяти 26, и в случае их совпадения на втором выходе блока 13 вырабатывается управляющий сигнал в виде логической «1», поступающей на третий вход блока управления 24. Если адреса не совпали, вырабатывается управляющий сигнал - логический «0».In the first comparison unit 13, the selected values of the address parameters are compared with the corresponding reference values stored in the third memory unit 26, and if they coincide, a control signal is generated in the form of a logical “1” at the second input of the control unit 24 at the second output of the unit 13. If the addresses do not match, a control signal is generated - a logical "0".

На втором выходе 13.5 первого блока сравнения 13 вырабатывается управляющий сигнал, поступающий на второй вход 14.2 шестого счетчика 14, который отыскивает поле, содержащее номер порта источника в заголовке TCP. На выходе 14.3 шестого счетчика 14 вырабатывается управляющий сигнал разрешения записи следующих двух байтов сигнальных цифровых последовательностей в шестой блок дешифрации 15. Шестой блок дешифрации 15 предназначен для определения в этом байте числового значения «ноль» (00) в десятичном виде. В этом случае на втором выходе блока 15 вырабатывается управляющий сигнал, поступающий на четвертый вход блока управления 24.At the second output 13.5 of the first comparison unit 13, a control signal is generated that is supplied to the second input 14.2 of the sixth counter 14, which searches for a field containing the source port number in the TCP header. At the output 14.3 of the sixth counter 14, a control signal is generated to enable the next two bytes of the signal digital sequences to be written to the sixth decryption unit 15. The sixth decryption unit 15 is used to determine the numerical value “zero” (00) in this byte in decimal form. In this case, at the second output of block 15, a control signal is generated that is fed to the fourth input of control unit 24.

С первого выхода шестого блока дешифрации 15 поступает управляющий сигнал на седьмой счетчик 16, который отыскивает поле, содержащее значение резервных битов заголовка TCP-пакета. Седьмой счетчик 16 вырабатывает управляющие сигналы для записи в седьмой блок дешифрации 17 следующих 6 бит. Седьмой блок дешифрации 17 предназначен для определения значения поля резервных бит. Если это значение отлично от «нуля» (00) в десятичном виде, на первом выходе дешифратора 17 формируется управляющий сигнал, поступающий на пятый вход блока управления 24.From the first output of the sixth decryption unit 15, a control signal is supplied to the seventh counter 16, which searches for a field containing the value of the reserve bits of the TCP packet header. The seventh counter 16 generates control signals for writing to the seventh decryption unit 17 of the next 6 bits. The seventh decryption unit 17 is designed to determine the value of the reserve bit field. If this value is other than "zero" (00) in decimal form, a control signal is generated at the first output of the decoder 17, which is fed to the fifth input of the control unit 24.

Со второго выхода 17.4 седьмого блока дешифрации 17 формируется управляющий сигнал, поступающий на восьмой счетчик 18, который отыскивает поле «Опции».From the second output 17.4 of the seventh decryption unit 17, a control signal is generated, which arrives at the eighth counter 18, which searches for the "Options" field.

Восьмой счетчик 18, который отчитывает 4 байта для определения значения поля «Опции» и вырабатывает на первом выходе управляющий сигнал разрешения сохранения этих байт в восьмой блок дешифрации 19, который служит для определения параметров поля «Опции».The eighth counter 18, which reports 4 bytes to determine the value of the "Options" field and generates at the first output a control signal to enable the storage of these bytes in the eighth decryption unit 19, which serves to determine the parameters of the "Options" field.

Поле «Опции» является необязательным и имеет переменную длину. Поддержка опций должна реализоваться во всех модулях IP (узлах и маршрутизаторах). Стандартом определены 8 опций. В предлагаемом устройстве используется опция - «запись маршрута» и/или «безопасности» [RFC 791, Internet Protocol, 1981, сентябрь, стр. 14-22].The Options field is optional and has a variable length. Support for options should be implemented in all IP modules (nodes and routers). The standard defines 8 options. The proposed device uses the option “route recording” and / or “security” [RFC 791, Internet Protocol, 1981, September, pp. 14-22].

Во втором блоке сравнения 28 выделенные параметры поля «Опции» сравниваются с эталонными значениями, хранящимися в четвертом блоке памяти 29, и в случае их совпадения на первом выходе блока сравнения 28 вырабатывается управляющий сигнал в виде логической «1», поступающей на седьмой вход блока управления 24. Если значения поля «Опции» не совпали, на первом выходе вырабатывается управляющий сигнал - логический «0», поступающий на двенадцатый вход блока управления 24.In the second comparison unit 28, the selected parameters of the “Options” field are compared with the reference values stored in the fourth memory unit 29, and if they coincide, the control signal is generated in the form of a logical “1” at the seventh input of the control unit at the first output of the comparison unit 28 24. If the values of the "Options" field did not match, a control signal is generated at the first output - a logical "0", which is received at the twelfth input of the control unit 24.

После выделения всех параметров КПС информация о наличии или отсутствии воздействия на КПС в каждом доверенном маршруте сохраняется в пятом блоке памяти 31 и обновляется каждые 7 минут.After selecting all the parameters of the CPS, information about the presence or absence of an effect on the CPS in each trusted route is stored in the fifth memory block 31 and is updated every 7 minutes.

При поступлении управляющего сигнала на первый вход блока управления 24 формируется управляющий сигнал на его первом выходе.Upon receipt of the control signal at the first input of the control unit 24, a control signal is generated at its first output.

При поступлении управляющего сигнала на второй вход блока управления 24 включается линия задержки до момента поступления сигнала на его третий вход, после чего формируется управляющий сигнал на первом выходе блока управления 24.Upon receipt of the control signal at the second input of the control unit 24, a delay line is turned on until the signal arrives at its third input, after which a control signal is generated at the first output of the control unit 24.

При поступлении управляющего сигнала на входы с третьего по шестой блока управления 24 подключается соответствующий шифратор. Шифратор необходим для преобразования сигналов, поступающих на его информационный вход в кодовую комбинацию, соответствующую сообщению, которое передается на второй выход блока управления 24.Upon receipt of the control signal at the inputs from the third to the sixth control unit 24, the corresponding encoder is connected. The encoder is necessary to convert the signals received at its information input into a code combination corresponding to the message that is transmitted to the second output of the control unit 24.

При получении на седьмой вход блока управления 24 управляющего сигнала на его втором и четвертом выходе формируется управляющий сигнал, поступающий на первый блок памяти 1, по которому происходит обнуление ячеек памяти и блок центрального управления передающим устройством, по которому происходит запись информации о состоянии доверенного маршрута. Устройство готово к ведению анализа вновь поступающих КПС.Upon receipt of a control signal at the seventh input of control unit 24, a control signal is generated at its second and fourth output, which is transmitted to the first memory unit 1, through which the memory cells are zeroed, and the central control unit of the transmitting device, by which information about the status of the trusted route is recorded. The device is ready for analysis of newly arriving KPS.

Через управляющий вход устройства администратор обновляет эталонные значения параметров КПС. Для этого администратор в тестовом режиме функционирования ИТКС измеряет реальные значения полей данных КПС для маршрута между каждой парой доверенных адресов получателя и отправителя. После передачи КПС по ИТКС от отправителя к получателю сообщения по определенному маршруту адреса отправителя и получателя (поля «IP адрес отправителя», «IP адрес получателя») и маршрут прохождения КПС (поле «опции») будут иметь одинаковые значение для всех КПС, проходящих по этому маршруту. Эти значения запоминают в соответствующие блоки памяти. После того как все эталонные значения проверяемых параметров собраны и записаны в соответствующие блоки памяти, осуществляется перевод ИТКС в режим реальной работы.Through the control input of the device, the administrator updates the reference values of the KPS parameters. To do this, the administrator in the test mode of ITKS operation measures the real values of the KPS data fields for the route between each pair of trusted addresses of the recipient and sender. After transmitting the KPS via ITKS from the sender to the receiver, the messages along the specific route of the sender and recipient addresses (fields “IP address of the sender”, “IP address of the recipient”) and the route of the KPS (field “options”) will have the same value for all KPS passing along this route. These values are stored in the corresponding memory blocks. After all the reference values of the checked parameters are collected and recorded in the corresponding memory blocks, the ITKS is transferred to the real mode of operation.

Таким образом, благодаря постоянному мониторингу резервных доверенных маршрутов передачи пакетов сообщений на наличие компьютерных атак, направленных на хищение, искажение и ввод ложной информации, а также перенаправление трафика повысилась достоверность их обнаружения, характеризуемая вероятностью обнаружения (Робн). С помощью моделирования получена взаимосвязь значений вероятности обнаружении компьютерных атак от времени диагностики маршрутов КПС.Thus, due to the constant monitoring of reserve trusted routes for transmitting message packets for the presence of computer attacks aimed at stealing, distorting and entering false information, as well as traffic redirection, the reliability of their detection, characterized by the probability of detection (P obn ), increased. Using the simulation, the relationship of the probability values of detecting computer attacks from the time of diagnostics of KPS routes was obtained.

Для этого была построена профильная модель устройства обнаружения компьютерных атак в маршрутах и метод топологического преобразования стохастических сетей [Привалов А.А. Метод топологического преобразования стохастических сетей и его использование для анализа систем связи ВМФ. - СПб: ВМА, 2000 г.].For this purpose, a profile model of a device for detecting computer attacks in routes and a method for topological conversion of stochastic networks [Privalov A.A. The method of topological transformation of stochastic networks and its use for the analysis of communication systems of the Navy. - St. Petersburg: VMA, 2000].

Достижение технического результата поясняется следующим образом. Для устройства-прототипа из-за отсутствия возможности периодической диагностики резервных доверенных маршрутов на наличие в них воздействия компьютерных атак вероятность обнаружения компьютерных атак (Р1обн) ниже, чем у прототипа (Р2обн) в 3,5 раза.The achievement of the technical result is illustrated as follows. For the prototype device, due to the lack of the ability to periodically diagnose backup trusted routes for the presence of computer attacks, the probability of detecting computer attacks (P1 obn ) is lower than the prototype (P2 obn ) by 3.5 times.

При этом разница в вероятности обнаружения компьютерных атак тем больше, чем больше время диагностики резервных доверенных маршрутов, чем и достигается сформулированный технический результат, т.е. повышение достоверности обнаружения компьютерных атак.In this case, the difference in the probability of detecting computer attacks is the greater, the longer the diagnostic time for backup trusted routes is, and the formulated technical result is achieved, i.e. increase the reliability of detection of computer attacks.

Полученные результаты расчетов подтверждают возможность достижения указанного технического результата при использовании заявленного устройства.The obtained calculation results confirm the possibility of achieving the specified technical result when using the claimed device.

Claims (1)

Устройство обнаружения компьютерных атак в маршрутах, содержащее первый блок памяти, снабженный входной шиной сообщений, а его информационный выход подключен к первым информационным входам первого, третьего, четвертого, пятого, шестого, седьмого, восьмого блоков дешифрации, первый управляющий вход первого блока памяти подключен к управляющему входу первого счетчика, информационный выход которого подключен к второму информационному входу первого блока дешифрации, управляющий и информационный выходы которого подключены соответственно к первому управляющему входу блока управления и информационному входу второго счетчика, первый информационный выход которого подключен к информационному входу второго блока дешифрации, информационный выход которого подключен к информационному входу второго блока памяти, информационный выход которого подключен к первому информационному входу шестого счетчика, второй информационный вход которого подключен к второму информационному выходу первого блока сравнения, информационный выход шестого счетчика подключен к второму информационному входу шестого блока дешифрации, первый управляющий выход которого подключен к четвертому управляющему входу блока управления, пятый управляющий вход которого подключен к первому управляющему выходу седьмого блока дешифрации, второй информационный выход которого подключен к информационному входу восьмого счетчика, выход которого подключен к второму информационному входу восьмого блока дешифрации, первый управляющий выход которого подключен к шестому управляющему входу блока управления, второй и третий управляющие входы блока управления подключены соответственно к первому управляющему выходу третьего блока дешифрации и первому управляющему выходу первого блока сравнения, второй информационный вход которого подключен к выходу пятого блока дешифрации, второй информационный вход которого подключен к выходу пятого счетчика, информационный вход которого подключен к второму информационному выходу третьего блока дешифрации, третий информационный выход которого подключен к входу четвертого счетчика, выход которого подключен к второму информационному входу четвертого блока дешифрации, выход которого подключен к третьему информационному входу первого блока сравнения, второй информационный выход второго счетчика подключен к информационному входу третьего счетчика, информационный выход которого подключен к второму информационному входу третьего блока дешифрации, второй информационный выход шестого блока дешифрации подключен к входу седьмого счетчика, выход которого подключен к второму информационному входу седьмого блока дешифрации, первый, второй и третий управляющие выходы блока управления подключены соответственно к первому, второму управляющим входам первого блока памяти и к управляющему входу блока индикации, отличающееся тем, что дополнительно введены второй блок сравнения, блок центрального управления передающим устройством, третий, пятый блоки памяти и четвертый блок памяти, выход которого подключен к второму информационному входу второго блока сравнения, первый информационный вход и первый управляющий выход которого подключены соответственно к второму информационному выходу восьмого блока дешифрации и седьмому управляющему входу блока управления, четвертый управляющий выход которого подключен к первому управляющему входу блока центрального управления передающим устройством, второй информационный вход которого подключен к информационному выходу пятого блока памяти, второй информационный вход которого подключен к второму информационному выходу второго блока сравнения, информационный выход третьего блока памяти подключен к первому информационному входу первого блока сравнения, причем управляющие входы третьего блока памяти, четвертого блока памяти и пятого блока памяти объединены и являются управляющим входом устройства. A device for detecting computer attacks in routes, comprising a first memory block equipped with an input bus, and its information output is connected to the first information inputs of the first, third, fourth, fifth, sixth, seventh, eighth decryption units, the first control input of the first memory unit is connected to the control input of the first counter, the information output of which is connected to the second information input of the first decryption unit, the control and information outputs of which are connected respectively to the first control input of the control unit and the information input of the second counter, the first information output of which is connected to the information input of the second decryption unit, the information output of which is connected to the information input of the second memory unit, the information output of which is connected to the first information input of the sixth counter, the second information input of which connected to the second information output of the first comparison unit, the information output of the sixth counter is connected to the second information the input of the sixth decryption unit, the first control output of which is connected to the fourth control input of the control unit, the fifth control input of which is connected to the first control output of the seventh decryption unit, the second information output of which is connected to the information input of the eighth counter, the output of which is connected to the second information input of the eighth decryption unit, the first control output of which is connected to the sixth control input of the control unit, the second and third control inputs of the unit and the controls are connected respectively to the first control output of the third decryption unit and the first control output of the first comparison unit, the second information input of which is connected to the output of the fifth decryption unit, the second information input of which is connected to the output of the fifth counter, the information input of which is connected to the second information output of the third unit decryption, the third information output of which is connected to the input of the fourth counter, the output of which is connected to the second information input the fourth decryption unit, the output of which is connected to the third information input of the first comparison unit, the second information output of the second counter is connected to the information input of the third counter, the information output of which is connected to the second information input of the third decryption unit, the second information output of the sixth decryption unit is connected to the input of the seventh counter the output of which is connected to the second information input of the seventh decryption unit, the first, second and third control outputs of the control unit The phenomena are connected respectively to the first, second control inputs of the first memory unit and to the control input of the display unit, characterized in that a second comparison unit, a central control unit of the transmitting device, a third, fifth memory unit and a fourth memory unit, the output of which is connected to the second the information input of the second comparison unit, the first information input and the first control output of which are connected respectively to the second information output of the eighth decryption unit and the seventh control input of the control unit, the fourth control output of which is connected to the first control input of the central control unit of the transmitting device, the second information input of which is connected to the information output of the fifth memory unit, the second information input of which is connected to the second information output of the second comparison unit, the information output of the third block memory is connected to the first information input of the first comparison unit, and the control inputs of the third memory unit, four The erased memory block and the fifth memory block are combined and are the control input of the device.
RU2014126771/08A 2014-07-01 2014-07-01 Device for detecting computer attacks in routes RU2566331C1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
RU2014126771/08A RU2566331C1 (en) 2014-07-01 2014-07-01 Device for detecting computer attacks in routes

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
RU2014126771/08A RU2566331C1 (en) 2014-07-01 2014-07-01 Device for detecting computer attacks in routes

Publications (1)

Publication Number Publication Date
RU2566331C1 true RU2566331C1 (en) 2015-10-20

Family

ID=54327708

Family Applications (1)

Application Number Title Priority Date Filing Date
RU2014126771/08A RU2566331C1 (en) 2014-07-01 2014-07-01 Device for detecting computer attacks in routes

Country Status (1)

Country Link
RU (1) RU2566331C1 (en)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6816973B1 (en) * 1998-12-29 2004-11-09 Cisco Technology, Inc. Method and system for adaptive network security using intelligent packet analysis
RU2301443C2 (en) * 2005-07-04 2007-06-20 Государственное образовательное учреждение высшего профессионального образования Академия Федеральной службы охраны Российской Федерации (Академия ФСО России) Information searching device
RU2313127C2 (en) * 2005-07-26 2007-12-20 Закрытое акционерное общество "Центр открытых систем и высоких технологий" Device for protecting informational resources of a computer network
RU2321055C2 (en) * 2006-05-12 2008-03-27 Общество с ограниченной ответственностью Фирма "Анкад" Device for protecting information from unsanctioned access for computers of informational and computing systems

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6816973B1 (en) * 1998-12-29 2004-11-09 Cisco Technology, Inc. Method and system for adaptive network security using intelligent packet analysis
RU2301443C2 (en) * 2005-07-04 2007-06-20 Государственное образовательное учреждение высшего профессионального образования Академия Федеральной службы охраны Российской Федерации (Академия ФСО России) Information searching device
RU2313127C2 (en) * 2005-07-26 2007-12-20 Закрытое акционерное общество "Центр открытых систем и высоких технологий" Device for protecting informational resources of a computer network
RU2321055C2 (en) * 2006-05-12 2008-03-27 Общество с ограниченной ответственностью Фирма "Анкад" Device for protecting information from unsanctioned access for computers of informational and computing systems

Similar Documents

Publication Publication Date Title
CN104717105B (en) A kind of industrial sensor network Data duplication detection method based on ISA100.11a standards
US10819727B2 (en) Detecting and deterring network attacks
Tuptuk et al. Covert channel attacks in pervasive computing
Kang et al. An attack-resilient source authentication protocol in controller area network
Cheng et al. Opportunistic piggyback marking for IP traceback
EP2940965B1 (en) Time-locked network and nodes for exchanging secure data packets
US9667650B2 (en) Anti-replay checking with multiple sequence number spaces
EP3447668B1 (en) Utilizing routing for secure transactions
CN104219222A (en) Systems and methods for intermediate message authentication in a switched-path network
RU2566331C1 (en) Device for detecting computer attacks in routes
EP4352918A1 (en) Securely and reliably transmitting messages between network devices
Yang Hybrid single‐packet IP traceback with low storage and high accuracy
Baskar et al. Adaptive IP traceback mechanism for detecting low rate DDoS attacks
Muthuprasanna et al. Space-time encoding scheme for DDoS attack traceback
RU2540838C1 (en) Detector of remote computer attacks
Subbulakshmi et al. Attack source identification at router level in real time using marking algorithm deployed in programmable routers
CN110881016A (en) Network security threat assessment method and device
RU2417537C1 (en) Information search apparatus
JP5957593B2 (en) Data relay apparatus, network system, and data relay method
Suseendran et al. Secure intrusion-detection system in mobile adhoc networks
RU2568784C1 (en) Method of controlling data streams in distributed information systems
RU2545516C2 (en) Detection device of attacks in wireless networks of 802,11g standard
US9710499B2 (en) Method for detecting the playback of a data packet
Sulochana et al. Resilient system for secure sharing of information against false data injection attack
RU2301443C2 (en) Information searching device

Legal Events

Date Code Title Description
MM4A The patent is invalid due to non-payment of fees

Effective date: 20160702

点击 这是indexloc提供的php浏览器服务,不要输入任何密码和下载