СПОСОБ ЗАЩИТЫ ИНФОРМАЦИОННО-ВЫЧИСЛИТЕЛЬНЫХ СЕТЕЙ ОТ КОМПЬЮТЕРНЫХ АТАК Текст научной статьи по специальности «Компьютерные и информационные науки»

Электронный журнал «Труды МАИ». Выпуск № 57

www.mai.ru/science/trudy/

УДК 004.738.5.057.4

Способ защиты информационно-вычислительных сетей от

компьютерных атак

В.В. Бухарин, А.В. Кирьянов, Ю.И. Стародубцев

Аннотация:

Рассмотрен способ защиты информационно-вычислительной сети при возникновении нарушений внешнего периметра системы защиты информации, реализуемых посредством осуществления компьютерных атак. Данный способ позволяет повысить оперативность обнаружения компьютерной атаки за счет использования трассировки маршрутов передачи пакетов.

Ключевые слова:

защита информационно-вычислительной сети, компьютерная атака, трассировка маршрута, IP протокол.

Мировые тенденции развития в области информатизации и связи показывают, что на базе цифровых методов передачи, обработки, хранения, представления и защиты информации быстрыми темпами идет процесс взаимопроникновения и «сращивания» информационных и телекоммуникационных систем не только на уровне технологий их разработки и эксплуатации, но и их структурного и функционального объединения. Роль защиты информации на всех этапах функционирования информационно -телекоммуникационной системы остается приоритетной.

На этапе организации несанкционированного доступа к защищаемой сети, одной из задач является нарушение внешнего периметра системы защиты информации (СЗИ), реализуемое посредством применения компьютерных атак. Сетевая компьютерная атака -заранее спланированное целенаправленное воздействие на определенные объекты компьютерных сетей программными и аппаратными средствами через установление

соединения на сетевом уровне или попытки установления соединения на канальном или сетевом уровне ЭМВОС с объектом данного воздействия. Цель атаки - организация канала утечки информации, блокирование, модификация, уничтожение информационных ресурсов, блокирование СЗИ объекта.

Существуют и активно развиваются СЗИ которые реализуют различные способы защиты от компьютерных атак. Так, один из них, включает следующую последовательность действий: принимают /-й, где /=1, 2, 3..., пакет сообщения из канала связи, запоминают его, принимают (/+1)-й пакет сообщения, запоминают его, выделяют и запомненных фрагментированных пакетов сообщений характеризующие их параметры, вычисляют необходимые параметры для сравнения принятых фрагментированных пакетов и по результатам сравнения принимают решение о факте наличия или отсутствия компьютерной атаки [1].

Недостатком данного способа является низкая оперативность обнаружения компьютерной атаки, обусловленная выполнением соответствующих действий по обнаружению уже в процессе осуществления компьютерной атаки, что может привести к несанкционированному воздействию на информационно-вычислительную сеть.

Целью предлагаемого технического решения является разработка способа защиты информационно-вычислительных сетей, от компьютерных атак, обеспечивающего, повышение оперативности обнаружения компьютерной атаки на информационно-вычислительную сеть.

Реализация заявленного способа поясняется блок-схемой на рисунке 1.

Непосредственная реализация способа объясняется следующим образом:

1. Формируют массив Р для запоминания поступающих из канала связи 1Р-пакетов сообщений.

2. Формируют массивы Б, I, Т и О, для запоминания параметров выделенных из запомненных пакетов сообщений соответственно:

Б - для запоминания значений поля данных «1Р адрес назначения»;

I - для запоминания значений поля данных «1Р адрес источника»;

Т - для запоминания значений поля данных «Время жизни пакета»;

О - для запоминания значений поля данных «Опции».

В предлагаемом решении используют функции протокола 1Р, применяемые при передаче пакетов по сети. Заголовок пакета протокола 1Р, представленный на рисунке 2, содержит определенное количество полей. В полях «1Р адрес назначения» и «1Р адрес

источника» будут находиться 32-битные последовательности, определяющие логические адреса назначения и источника пакета сообщения необходимые для передачи его по ИВС.

. 1 г

Задают массив {Р}, {Т}, {О}, {Б}, {I}, {Бэт}, {1эт}, {Тэт}, {Озт}

- 1 Г

Запоминают значения доверенных адресов получателя и отправителя пакетов сообщений в массив {Бэт}, {1эт}

Инициализация информационно-вычислительной сети

Измерение Т Oj , ]-1, 2,..Л^ N — количество пар адресов доверенных абонентов

- л Г

Осуществляют перевод информационно-вычислительной сети в режим реальной работы /=1

1 Г

О

3

4

Рисунок 1 - Блок-схема способа защиты ИВС от компьютерных атак

Поле «Время жизни пакета» определяет максимальное время существования дейтаграммы в сети.

Поле «Опции» является необязательным и имеет переменную длину. Поддержка опций должна реализоваться во всех модулях 1Р (узлах и маршрутизаторах). Стандартом определены 8 опций. В предлагаемом решении используется опция - «запись маршрута» [2].

Байты

0 1 : 3

Версия Длнна ■заголовка Тип обслуживания Длина пакета

Иденпи « ж а тор Флаги (3 бита) Смещение фрагмента

Время жтнп Протокол Контрольная сумма

ГР адрес отправителя

ГР адрес получателя

Опщш

Данные

Рисунок 2 - Логическая характеристика протокола 1Р у4

3. Формируют массивы —эт, 1эт для запоминания эталонных параметров выделенных из запомненных пакетов сообщений:

Пэт - значений поля данных «1Р адрес назначения»;

1эт - значений поля данных «1Р адрес источника».

4. Формируют массивы Тэт, Оэт для запоминания эталонных параметров выделенных из запомненных пакетов сообщений:

Тэт - значений поля данных «Время жизни пакета»;

Оэт - значений поля данных «Опции».

5. Определяют доверенные 1Р-адреса получателя и отправителя для запоминания этих значений в массивы —эт, /эт. Под доверенными 1Р-адресами понимают пары адресов, источника и назначения, легитимных абонентов различных фрагментов ИВС. Запоминают данные значения доверенных адресов получателя и отправителя пакетов сообщений в массив

-^эт 1эт-

6. Адаптируют информационно-вычислительную сеть (рис. 3). Под адаптацией понимается работа информационно-вычислительной сети в тестовом режиме для внедрения в конкретных условиях функционирования [3].

7. Измеряют реальные значения полей данных пакета «Время жизни пакета» и «Опции» для маршрута между у-ой парой доверенных адресов получателя и отправителя пакетов сообщений, где]=\, 2,..Ы , N - количество пар адресов доверенных абонентов. При

передачи пакетов по сети промежуточные узлы (маршрутизаторы) осуществляют их маршрутизацию по адресной информации, имеющейся в заголовке пакета [4].

Рисунок 3 - Схема формирования маршрута передачи пакетов сообщений в ИВС

Таким образом, после передачи пакета по сети от источника к получателю сообщения, по определенному маршруту, адреса источника и получателя (поля «1Р адрес назначения», «1Р адрес источника»), количество пройденных маршрутизаторов (поле «время жизни пакета») и маршрут прохождения пакета (поле «опции») будут иметь одинаковые значение для всех пакетов сообщений, проходящих по этому маршруту. На рисунке 4 представлен пример значений полей данных 1Р пакета после прохождения по сети связи.

Version: 4

Header length: 40 byres l> Differentiated services Field: OxOO (dscp 0x00: Default; ecn: 0x00) Total Length: 60 identification: 0x166b (5739)

> Flags: 0x04 (Don't Fragment) Fragment offset: 0

Time to live: 3 Protocol: TCP (0x06)

> Header checksum: 0x734f [correct] source: LOO.O.O.2

Destination: 112.0.0.2 Options: (20 bytes) Record route (19 bytes) Pointer: 20 100.0.0.1 101.0.0.1 106.0.0.2 112.0.0.2

Рисунок 4 - Значения поля данных 1Р пакета после прохождения по сети связи Эти значения запоминают в массивах Бэт, 1эт, Тэт, Оэт. Данную процедуру повторяют для всех пар доверенных адресов Формируют таблицу 1, эталонных значений.

Таблица1

Эталонные значения полей данных «1Р адрес назначения», «1Р адрес источника», «Время жизни пакета» и «Опции»

IP адрес источника IP адрес назначения Время жизни Опции

пакета «запись маршрута»

100.0.0.2 112.0.0.2 3 100.0.0.1

101.0.0.1

106.0.0.2

112.0.0.2

100.0.0.2 113.0.0.2 5 100.0.0.1

102.0.0.1

105.0.0.2

108.0.0.1

111.0.0.1

113.0.0.2

100.0.0.2 114.0.0.2 6 100.0.0.1

103.0.0.1

104.0.0.2

107.0.0.1

109.0.0.1

110.0.0.2

114.0.0.2

8. После того как все эталонные значения проверяемых параметров собраны и записаны в соответствующие массивы, осуществляют перевод информационной вычислительной сети в режим реальной работы (эксплуатация).

9. Принимают 1-й пакет сообщения из канала связи, где /=1, 2, 3,....

\0. Запоминают 1-й пакет сообщения в массив Р для дальнейшей работы с заголовком /-го пакета.

11. Выделяют из заголовка /-го пакета значения поля данных «Время жизни пакета» Т/, поля данных «Опции» Ог , поля данных «1Р адрес назначения» Бг и поля данных «1Р адрес источника» ¡г.

12. Запоминают в массивы Т, О, Б, I значения поля данных «Время жизни пакета» Т/, поля данных «Опции» Ог , поля данных «1Р адрес назначения» Бг и поля данных «1Р адрес источника» ¡1.

13. Для выявления и блокирования компьютерных атак осуществляют поиск в массивах -эт, ¡эт соответствующих значений полей данных «1Р адрес назначения» Бг и «1Р адрес источника» ¡/ полученного /-го пакета. При совпадении данных полей проверяют соответствие значений полей данных «Время жизни пакета» Тг и «Опции» Ог принятого пакета сообщений с эталонными значениями Тэт, Оэт.

14. Передают г-й пакет сообщения в информационно-вычислительную сеть при совпадении эталонных значений полей данных «Время жизни пакета», «Опции», «1Р адрес назначения» и «1Р адрес источника» со значениями полей данных из полученного пакета.

\5. Принимают решение о подготовке атаки при несовпадении эталонных значений полей данных «Время жизни пакета», «Опции», «1Р адрес назначения» и «1Р адрес источника» со значениями полей данных из полученного пакета и запрещают передачу /-й пакета сообщения в информационно-вычислительную сеть, а также удаляют все значения из массивов Т, О, Б, ¡.

\6. Повторяют действия, начиная с приема очередного пакета сообщения из канала связи до сравнения эталонных значений полей данных со значениями полей данных вновь принятого пакета сообщения и затем принимают решение о факте наличия или отсутствия компьютерной атаки.

Возможность реализации сформулированного технического результата была проверена путем машинного моделирования. С помощью моделирования получена взаимосвязь значений времени распознавания tобн (обнаружения) компьютерной атаки от объема фрагментированного сообщения Ксооб.

0 0,11

9,96

1452,7 у

сооб, Мб

Рисунок 5 - Зависимость времени обнаружения компьютерной атаки от объема

фрагментированного сообщения На рисунке 5 представлена зависимость времени обнаружения компьютерной атаки от объема фрагментированного сообщения, для небольшого объема файла - 0,11 Мбайт, среднего объема файла - 9,96 Мбайт и большого объема файла - 1452,70 Мбайт с учетом того, что размер 1Р-пакета - 64Кб.

Достижение технического результата поясняется следующим образом. Для способа-прототипа при обнаружении компьютерной атаки осуществляется выявление фрагментированных пакетов за время Т1, которое зависит от объема передаваемого сообщения. Для предлагаемого способа выявление компьютерной атаки производится по результатам анализа каждого последовательно принятого пакета за время Т2, не ожидая времени необходимой для дефрагментации всего сообщения.

При этом разница в требуемом времени для обнаружения компьютерной атаки АТ = Т ~ Т тем больше чем больше объем фрагментированного сообщения, чем и

достигается сформулированный технический результат при реализации заявленного способа, т.е. повышение оперативности обнаружения компьютерной атаки на информационно -вычислительную сеть.

Таким образом, заявленный способ за счет определения информации о подготовке компьютерной атаки путем использования трассировки маршрутов передачи пакетов по определенным доверенным маршрутам, поступающим в информационно-вычислительную сеть из каналов связи позволяет обеспечить повышение оперативности обнаружения компьютерной атаки на информационно-вычислительную сеть.

Библиографический список

1. Способ защиты информационно-вычислительных сетей от компьютерных атак: пат. 2285287 Рос. Федерация. №2005109585/09; заявл. 04.04.05; опубл. 10.10.06, Бюл. № 28. 19 с.

2. Интернет протокол. URL:http://www.ietf.org/rfc/rfc791.txt (дата обращения: 12.05.2012).

3. ГОСТ Р 53622-2009. Информационные технологии. Информационно -вычислительные системы. Стадии и этапы жизненного цикла, виды и комплектность документов. М., 2009. 12 с.

4. ГОСТ Р ИСО/МЭК 7498-1-99. Информационная технология. Взаимосвязь открытых систем. Базовая эталонная модель. М., 1999. I, 62 c.

Сведения об авторах:

Бухарин Владимир Владимирович, докторант Военной академии связи им. Буденного, к.т.н. Санкт-Петербург, Тихорецкий пр. д. 3, 194064; тел. (812) 556-93-41, тел. 8-9643836628, e-mail: bobah_buch@mail.ru.

Кирьянов Александр Владимирович, адъюнкт Военной академии связи им. Буденного, к.т.н. Санкт-Петербург, Тихорецкий пр. д. 3, 194064; тел. (812) 556-93-41, e-mail: bobah_buch@mail.ru.

Стародубцев Юрий Иванович, профессор Военной академии связи им. Буденного, Заслуженный деятель науки РФ, д.в.н, профессор Санкт-Петербург, Тихорецкий пр. д. 3, 194064; тел. (812) 556-93-41