Разработка алгоритмов динамического масштабирования вычислительных сетей

Алгоритм может быть использован в системах защиты от компьютерных атак путем их оперативного выявления и блокирования в информационно-вычислительных сетях (ИВС). Например, в сетях передачи данных (СПД) типа «Internet», основанных на семействе коммуникационных протоколов TCP/IP (Transmission Control Protocol / Internet Protocol)

Целью заявленного технического решения является разработка способа защиты ИВС от компьютерных атак, обеспечивающего повышение устойчивости функционирования ИВС в условиях несанкционированных воздействий за счет повышения достоверности обнаружения (распознавания) компьютерных атак путем расширения признакового пространства системы защиты, которое используется для выявления фрагментированных пакетов поступающих в ИВС из КС и анализа их параметров. Достижение сформулированной цели необходимо для своевременного предоставления сервисных возможностей абонентам ИВС, а также для обеспечения доступности⁵ обрабатываемой информации.

Поставленная цель достигается тем, что в способе защиты ИВС от компьютерных атак заключающемся в том, что принимают i-й, где i=1,2,3…, пакет сообщения из КС, запоминают его, принимают (i+1)-й пакет сообщения, запоминают его, выделяют из запомненных пакетов сообщений характеризующие их параметры, сравнивают их и по результатам сравнения принимают решение о факте наличия или отсутствия компьютерной атаки, предварительно задают массив {P} для запоминания P?1 фрагментированных пакетов сообщений и массивы для запоминания параметров, выделенных из запомненных пакетов сообщений: S?1 значений поля данных «Общая длина», С?1 значений поля данных «Смещение фрагмента», E?1 сумм значений полей данных «Общая длина» и «Смещение фрагмента» запомненных пакетов сообщений соответственно {S}, {C} и {E}. Кроме того, предварительно задают массив {P_доп} для запоминания дополнительных P_доп?1 фрагментированных пакетов сообщений. Причем после приема из КС i-го пакета сообщения из его заголовка выделяют значение поля данных «Флаг фрагментации» F_i. При его значении равном нулю, передают i-й пакет сообщения в ИВС, после чего принимают (i+1)-й пакет сообщения из КС. При значении поля даных «Флаг фагментации» i-го пакета сообщения равным единице, запоминают i-й пакет сообщения, выделяют из его заголовка значение поля данных «Идентификатор» N_i и запоминают его. Выделяют из заголовка значения полей данных «Общая длина» S_i и «Смещение фрагмента» C_i. Запоминают их в соответствующих массивах {S} и {C}. Вычисляют сумму E_i запомненного i-го пакета собщения E_i=S_i+C_i и запоминают ее в массив {Е}. Кроме того, приняв из КС (i+1)-й пакет сообщения, из его заголовка выделяют значение поля данных «Идентификатор» N_i+1, сравнивают его со значением поля данных «Идентификатор» N_i i-го пакета сообщения. При их несовпадении передают (i+1)-й пакет сообщения в ИВС, после чего принимают из КС очередной пакет сообщения. При совпадении значений полей данных «Идентификатор» i-го и (i+1)-го пакета сообщений запоминают (i+1)-й пакет сообщения, выделяют из его заголовка значения полей данных «Общая длина» S_i+1, «Смещение фрагмента» C_i+1 и запоминают их в соответствующих массивах {S} и {C}. Вычисляют сумму E_i+1=S_i+1+C_i+1 и запоминают ее в массив {Е}. Считывают из заголовка (i+1)-го пакета сообщения значение поля данных «Флаг фрагментации» F_i+1. При его равенстве единице повторяют действия, начиная с принятия из КС очередного пакета сообщения и сравнения полей данных «Идентификатор», причем эти действия повторяют до приема из КС пакета сообщения, принадлежащего совокупности N_i фрагментированых пакетов сообщений, со значением поля данных «Флаг фрагментации» равном нулю. При значении поля данных «Идентификатор» (i+1)-го пакета сообщения равном нулю, из массива {Р} фрагментированных пакетов сообщений считывают, из числа ранее запомненных пакетов сообщений, пакет сообщения Р_m, где m = 1,2,3… с наименьшим значением поля данных «Смещение фрагмента» С_min. Удаляют этот пакет сообщений из массива {Р} и запоминают его в массив {Р_доп} для дополнительных фрагментированных пакетов сообщений. После чего из числа оставшихся в массиве {Р} фрагментированных пакетов сообщений вновь считывают пакет сообщений Р_m+1 с наименьшим значением поля данных «Смещение фрагмента» С_min. Также удаляют этот пакет сообщений Р_m+1 из массива {Р} и запоминают его в массив {Р_доп}. После чего сравнивают сумму Е_m из массива {Е}, соответствующую запомненному в массиве {Р_доп} пакету сообщения Р_m, со значением поля данных «Смещение фрагмента» С_m+1, принадлежащим пакету сообщения Р_m+1, запомненному последним в массив {Р_доп}. При неравенстве значений Е_m и С_m+1 принимают решение о наличии компьютерной атаки, запрещают передачу в ИВС всех пакетов сообщений, сохраненных в массиве {Р} и удаляют все значения из массивов {Р}, {Р_доп}, {S}, {C} и {E}. При равенстве значений Е_m и С_m+1 из массива {Р_доп} в ИВС передают пакет сообщения Р_m. Затем считывают из заголовка пакета сообщения Р_m+1, оставшегося в массиве {Р_доп}, значение его поля данных «Флаг фрагментации» F. При F равным нулю из массива {Р_доп} передают пакет сообщения в ИВС, а при F равном единице из массива {Р} фрагментированных пакетов сообщений считывают очередной пакет сообщений с наименьшим значением поля данных «Смещение фрагмента» C_min. После чего повторяют действия начиная с запоминания очередного пакета сообщения в массив {Р_доп}, причем эти действия повторяют со всеми пакетами из множества {Р}.

Известно, что фрагментация используется при необходимости передачи IP-дейтаграммы⁶ через сегмент ИВС, в которой максимально допустимая единица передачи данных (maximum transmission unit -- MTU⁷) меньше размера этой дейтаграммы. Если размер дейтаграммы превышает это значение, то на маршрутизаторе, который передает данную дейтаграмму, должна быть выполнена ее фрагментация.

Фрагменты передаются по адресу назначения, где хост⁸-получатель должен выполнить их повторную сборку. На пути доставки фрагментированных пакетов они могут подвергаться дальнейшей фрагментации, если необходима их передача через сегмент сети с еще меньшим MTU. Значения MTU для различных технологий построения ИВС представлены в таблице 1 (рис.1). Практически во всех стеках протоколов есть протоколы, отвечающие за фрагментацию сообщений прикладного уровня на такие части, которые укладывались бы в кадры канального уровня. В стеке ТСР/IP эту задачу решает протокол ТСР, который разбивает поток байтов, передаваемый ему с прикладного уровня, на сегменты нужного размера. Протокол IP на хосте-отправителе, как правило, не использует свои возможности по фрагментации пакетов. А вот на маршрутизаторе, когда пакет необходимо передать из сети с большим значением MTU в сеть с меньшим значением MTU, способности протокола IP выполнять фрагментацию становятся востребованными.

Значения MTU для наиболее популярных технологий существенно отличаются, а это значит что в ИВС, которой должна быть свойственна гетерогенность, фрагментация не является редким явлением.

В функции протокола IP входит разбиение ставшего при передаче недопустимо длинным пакета на более короткие пакеты-фрагменты, каждый из которых должен быть снабжен полноценным IP-заголовком. Некоторые из полей заголовка -- идентификатор N, флаг фрагментации F, смещение С -- непосредственно предназначены для проведения последующей сборки фрагментов в исходное сообщение.

Процедуры фрагментации и сборки протокола IP рассчитаны на то, чтобы пакет сообщения можно было разбить на практически любое количество частей, которые впоследствии могли бы быть вновь собраны. Получатель фрагмента использует поле «Идентификатор» N для того, чтобы опознать все фрагменты одного и того же пакета. Маршрутизатор, на котором происходит разбиение (разбор) пакета сообщения на совокупность пакетов, устанавливает в поле «Идентификатор» значение, которое должно быть уникальным для данной последовательности фрагментированных пакетов.

Поле «Смещение фрагмента» сообщает хосту-получателю положение фрагмента в исходном пакете сообщения. Сумма значений полей данных «Смещение фрагмента» и «Общая длина» определяют часть исходного пакета, принесенную этим и предыдущими фрагментами.

Флаг фрагментации F показывает появление последнего фрагмента. Во всех фрагментированных пакетах одной совокупности флаг фрагментации равен единице, за исключением последнего (флаг фрагментации равен нулю).

Нарушители также используют фрагментацию на разных этапах своих атак с целью сокрытия своих действий и зондирования сетей, а также для запуска вредоносных программ. Атаки отказа в обслуживании основаны на использовании большого количества фрагментированных пакетов, что приводит к чрезмерной трате ресурсов атакованной ИВС.

Поиск эффективных технических решений повышения устойчивости функционирования ИВС в условиях распределенных компьютерных атак может быть осуществлен, путем повышения эффективности функционирования системы защиты, которого можно достичь за счет повышения достоверности обнаружения (распознавания) компьютерных атак, использующих фрагментацию пакетов сообщений, путем расширения признакового пространства системы защиты, которое осуществляется путем анализа информации хранящейся во фрагментах пакетов сообщений, необходимой для успешной сборки в первоначальное состояние на хосте-получателе:

* Каждый фрагмент единого пакета сообщений связан с другим фрагментом с помощью общего для всех фрагментов идентификационного номера. Этот номер копируется из поля «Идентификатор» заголовка IP-дейтаграммы, и, если пакет фрагментирован, его называют идентификатором фрагмента (fragment ID);

* Каждый фрагмент хранит информацию о своем месте, т. е. о смещении относительно исходного (нефрагментированного) пакета сообщения. В каждом фрагменте указан размер передаваемых в нем данных.

* Каждый фрагмент уведомляет о наличии следующих за ним фрагментов. Для этой цели служит флаг фрагментации F (More Fragments -- следующий фрагмент).

Заявленный способ реализуют следующим образом. Структура пакетов сообщений такова:

Пакет IP состоит из заголовка и поля данных. Заголовок пакета имеет следующие поля:

Поле Номер версии (VERS) указывает версию протокола IP. Сейчас повсеместно используется версия 4 и готовится переход на версию 6, называемую также IPng (IP next generation).

Поле Длина заголовка (HLEN) пакета IP занимает 4 бита и указывает значение длины заголовка, измеренное в 32-битовых словах. Обычно заголовок имеет длину в 20 байт (пять 32-битовых слов), но при увеличении объема служебной информации эта длина может быть увеличена за счет использования дополнительных байт в поле Резерв (IP OPTIONS).

Поле Тип сервиса (SERVICE TYPE) занимает 1 байт и задает приоритетность пакета и вид критерия выбора маршрута. Первые три бита этого поля образуют подполе приоритета пакета (PRECEDENCE). Приоритет может иметь значения от О (нормальный пакет) до 7 (пакет управляющей информации). Маршрутизаторы и компьютеры могут принимать во внимание приоритет пакета и обрабатывать более важные пакеты в первую очередь. Поле Тип сервиса содержит также три бита, определяющие критерий выбора маршрута. Установленный бит D (delay) говорит о том, что маршрут должен выбираться для минимизации задержки доставки данного пакета, бит Т - для максимизации пропускной способности, а бит R - для максимизации надежности доставки.

Поле Общая длина (TOTAL LENGTH) занимает 2 байта и указывает общую длину пакета с учетом заголовка и поля данных.

Поле Идентификатор пакета (IDENTIFICATION) занимает 2 байта и используется для распознавания пакетов, образовавшихся путем фрагментации исходного пакета. Все фрагменты должны иметь одинаковое значение этого поля.

Поле Флаги (FLAGS) занимает 3 бита, оно указывает на возможность фрагментации пакета (установленный бит Do not Fragment -

DF - запрещает маршрутизатору фрагментировать данный пакет), а также на то, является ли данный пакет промежуточным или последним фрагментом исходного пакета (установленный бит More Fragments - MF -говорит о том пакет переносит промежуточный фрагмент).

Поле Смещение фрагмента {FRAGMENT OFFSET) занимает 13 бит, оно используется для указания в байтах смещения поля данных этого пакета от начала общего поля данных исходного пакета, подвергнутого фрагментации. Используется при сборке/разборке фрагментов пакетов при передачах их между сетями с различными величинами максимальной длины пакета.

Поле Время жизни (TIME ТО LIVE) занимает 1 байт и указывает предельный срок, в течение которого пакет может перемещаться по сети. Время жизни данного пакета измеряется в секундах и задается источником передачи средствами протокола IP. На шлюзах и в других узлах сети по истечении каждой секунды из текущего времени жизни вычитается единица; единица вычитается также при каждой транзитной передаче (даже если не прошла секунда). При истечении времени жизни пакет аннулируется.

Идентификатор Протокола верхнего уровня (PROTOCOL) занимает 1 байт и указывает, какому протоколу верхнего уровня принадлежит пакет (например, это могут быть протоколы TCP, UDP или RIP).

Контрольная сумма (HEADER CHECKSUM) занимает 2 байта, она рассчитывается по всему заголовку.

Поля Адрес источника (SOURCE IP ADDRESS) и Адрес назначения (DESTINATION IP ADDRESS) имеют одинаковую длину - 32 бита, и одинаковую структуру.

Поле Резерв (IP OPTIONS) является необязательным и используется обычно только при отладке сети. Это поле состоит из нескольких подполей, каждое из которых может быть одного из восьми предопределенных типов. В этих подполях можно указывать точный маршрут прохождения маршрутизаторов, регистрировать проходимые пакетом маршрутизаторы, помещать данные системы безопасности, а также временные отметки. Так как число подполей может быть произвольным, то в конце поля Резерв должно быть добавлено несколько байт для выравнивания заголовка пакета по 32-битной границе.

Максимальная длина поля данных пакета ограничена разрядностью поля, определяющего эту величину, и составляет 65535 байтов, однако при передаче по сетям различного типа длина пакета выбирается с учетом максимальной длины пакета протокола нижнего уровня, несущего IP-пакеты. Если это кадры Ethernet, то выбираются пакеты с максимальной длиной в 1500 байтов, умещающиеся в поле данных кадра Ethernet.

Протоколы транспортного уровня (протоколы TCP или UDP), пользующиеся сетевым уровнем для отправки пакетов, считают, что максимальный размер поля данных IP-пакета равен 65535, и поэтому могут передать ему сообщение такой длины для транспортировки через интерсеть. В функции уровня IP входит разбиение слишком длинного для конкретного типа составляющей сети сообщения на более короткие пакеты с созданием соответствующих служебных полей, т.е. фрагментация, нужных для последующей сборки фрагментов в исходное сообщение.

В большинстве типов локальных и глобальных сетей определяется такое понятие как максимальный размер поля данных кадра или пакета, в которые должен инкапсулировать свой пакет протокол IP. Эту величину обычно называют максимальной единицей транспортировки - Maximum Transfer Unit, MTU. Сети Ethernet имеют значение MTU, равное 1500 байт, сети FDDI - 4096 байт, а сети Х.25 чаще всего работают с MTU в 128 байт.

Например, на рис. 2 представлена структура заголовка IP-дейтаграммы. Полужирным шрифтом выделены поля данных заголовка пакета сообщения, по которым определяют правильность сборки фрагментированных пакетов.

Рис.2

На рис. 3 представлена блок-схема алгоритма, реализующего заявленный способ защиты ИВС от компьютерных атак. Данный алгоритм позволяет выявить и произвести анализ одной последовательности фрагментированных пакетов. При обнаружении в канале связи нескольких последовательностей фрагментированных пакетов, данный алгоритм будет выполняться для каждой из обнаруженных последовательностей.

Рис. 3 Блок-схема алгоритма, реализующего заявленный способ защиты ИВС от компьютерных атак

В блок-схеме приняты следующие обозначения:

{P} - массив для запоминания фрагменированных пакетов сообщений;

{S} - массив для запоминания значений полей данных «Общая длина», выделенных и запомненных фрагментированых пакетов сообщений;

{С} - массив для запоминания значений полей данных «Смещение фрагмента», выделенных и запомненных фрагментированых пакетов сообщений;

{E} - массив для запоминания суммы значений полей данных «Общая длина» и «Смещение фрагмента», выделенных и запомненных фрагментированых пакетов сообщений;

{P_доп} - массив для дополнительного запоминания фрагментированных пакетов сообщений;

F - значение поля данных «Флаг фрагментации»;

N - значение поля данных «Идентификатор».

Предварительно задают (см. блок 1 на рис. 3) массив {P} для запоминания P?1 фрагментированных пакетов сообщений. Максимальная размерность данного массива будет зависеть от отношений MTU передаваемого сегмента ИВС и принимаемого т.е.

Например, при передачи пакета сообщения из сегмента построенного по технологии Token Ring (IBM, 16 Мбит/с) (MTU =17914 байта) в сегмент сети построенный по технологии DIX Ethernet (MTU =1500 байта) максимальная размерность массива равна двенадцати разрядам.

Также предварительно задают массивы для запоминания параметров, выделенных из запомненных пакетов сообщений, S?1 значений поля данных «Общая длина», С?1 значений поля данных «Смещение фрагмента», E?1 сумм значений полей данных «Общая длина» и «Смещение фрагмента» запомненных пакетов сообщений {S}, {C}, {E} соответственно. Разрядность данных массивов будет равна разрядности массива хранящего фрагментированные пакеты сообщений одной последовательности. А также задают массив {P_доп} для запоминания дополнительных P_доп?1 фрагментированных пакетов сообщений. Разрядность данного массива будет равна двум разрядам. Кроме того, первоначально данные множества будут пустые.

Из КС принимают (см. блок 2 на рис. 3) i-ый пакет сообщения, где i=1,2,3… и выделяют (см. блок 3 на рис. 3) из заголовка принятого пакета значение поля данных «Флаг фрагментации» F_i. Затем выясняют (см. блок 4 на рис. 3) равно ли значение поля данных «Флаг фрагментации» нулю. Равенство при этой проверке означает, что принятый пакет сообщений не является фрагментированным. В этом случае принятый из КС пакет сообщений передается в ИВС (см. блок 5 на рис. 3), а из КС принимается очередной (i+1)-й пакет сообщения, при этом в последующем осуществляется выделение и анализ значения поля данных «Флаг фрагментации» F_i+1. Данная проверка осуществляется с целью выявления факта поступления из КС фрагментированных пакетов в ИВС.

При получении из КС фрагментированного пакета сообщения (значение поля данных «Флаг фрагментации» равно единице), принятый пакет сообщения запоминают в массив {P} (см. блок 7 на рис. 3). При этом независимо, каким из принятых из КС и проанализированных пакетов сообщений он был первым, вторым или i-м, он сохраняется в первую ячейку массива {P} (см. рис. 4). Из заголовка сохраненного пакета сообщения выделяют (см. блок 8 на рис. 3) и запоминают значение поля данных «Идентификатор», а значения полей данных «Смещение фрагмента» и «Общая длина» сохраняют в массивы {С} и {S} соответственно (см. блок 9 на рис. 3). При чем значения сохраняются в первые ячейки массивов, т.к. пакет сообщений сохранен в первую ячейку. Затем находят сумму значений полей данных «Смещение фрагмента» и «Общая длина» запомненного пакета сообщений E. Данная сумма показывает на сколько должен быть смещен следующий принятый фрагментированный пакет принадлежащий данной совокупности пакетов. Полученное значение сохраняется в первую ячейку массива {E} (см. блок 10 на рис. 3).

Далее принимают из КС следующий пакет сообщений (см. блок 11 на рис. 3). Установив наличие поступающих в ИВС фрагментированных пакетов сообщений, осуществляем выделение и запоминание пакетов сообщений из поступающей последовательности из КС, пакетов принадлежащих данной совокупности фрагментированных пакетов. Для этого из принятого пакета сообщений выделяем значение поля данных «Идентификатор» N_i+1 (см. блок 12 на рис. 3). Сравниваем его значение со значением поля данных «Идентификатор» N_i пакета сообщения запомненного ранее (см. блок 13 на рис. 3). В случае отсутствия совпадения значений полей данных «Идентификатор» принятого пакета сообщения и пакета сообщения запомненного ранее, первый передается в ИВС (см. блок 14 на рис. 3), а из КС принимается следующий пакет сообщения с целью установления принадлежности к анализируемой совокупности фрагментированных пакетов.

В случае выявления принадлежности принятого пакета сообщения к совокупности анализируемой последовательности фрагментированных пакетов (значения полей данных «Идентификатор» принятого и запомненного ранее пакетов сообщений равны), не зависимо каким был принят и проанализирован данный пакет сообщения из КС ( например, (i+k)-й пакет сообщений) запоминают принятый пакет сообщения в следующую (вторую, третью и т.д.) ячейку массива {P} (см. блок 16 на рис. 3). Выделяют из заголовка принятого пакета сообщения значения полей данных «Общая длина» и «Смещение фрагмента» (см. блок 17 на рис. 3) и запоминают их значения соответственно в массивы {S} и {C} в ячейки с номерами, соответствующими номеру ячейки, в которую был сохранен анализируемый пакет сообщений (см. блок 18 на рис. 3). Затем вычисляют и запоминают сумму значений полей данных «Смещение фрагмента» и «Общая длина» запомненного пакета сообщений (см. блок 19 на рис. 3) и сохраняют в соответствующую ячейку массива {E}. Например, если был выявлен второй пакет сообщений, принадлежащий данной совокупности фрагментированных пакетов сообщений ((i+k)-й пакет сообщений), он помещается во вторую ячейку массива {P}, а значения его полей данных и сумма этих значений, также помещаются во вторые ячейки соответствующих массивов. Такая же процедура размещения осуществляется и с третьим (например, с (i+k+t)-м ) и с четвертым (например, с (i+k+t+q)-м ) пакетом сообщений. Процесс выявления фрагментированного пакета сообщения, состоящего из четырех фрагментов, принадлежащих одной последовательности, представлен на рис. 4.

Для определения является ли принятый пакет сообщения последним из совокупности анализируемых фрагментированных пакетов, из заголовка принятого пакета сообщения выделяют значение поля данных «Флаг фрагментации» (см. блок 17 на рис. 3), запоминают его (см. блок 18 на рис. 3) и выясняют (см. блок 20 на рис. 3) равно ли значение поля данных «Флаг фрагментации» F нулю. Неравенство при этой проверке означает, что принятый пакет сообщений не является последним пакетом сообщений принадлежащим анализируемой совокупности фрагментированных пакетов сообщений.

Рис. 4 Процесс выявления фрагментированных пакетов

В этом случае повторяют действия начиная с принятия из КС очередного пакета сообщения (см. блок 11 на рис. 3) и сравнения полей данных «Идентификатор» (см. блок 13 на рис. 3), причем эти действия повторяют до приема из КС пакета сообщения, принадлежащего совокупности N_i фрагментированных пакетов сообщений, со значением поля данных «Флаг фрагментации» равном нулю (см. блок 20 на рис. 3). В этом случае приступают к анализу запомненных пакетов сообщений в массив {P}, с целью определения правильности сборки всей совокупности выявленных фрагментированных пакетов сообщений.

Для анализа запомненных пакетов сообщений в массив {P}, с целью определения правильности сборки всей совокупности фрагментированных пакетов сообщений из совокупности запомненных пакетов сообщений считывают из числа ранее запомненных пакетов сообщений пакет сообщения P_m, где m=1,2,3…, которому соответствует наименьшее значение поля данных «Смещение фрагмента» С_min. Выделенный пакет сообщения удаляют из массива {P} и запоминают его в массив {P_доп} для фрагментированных пакетов сообщений выделенных дополнительно (см. блок 22 на рис. 3). После чего из числа оставшихся в массиве {Р} фрагментированных пакетов сообщений вновь считывают пакет сообщений P_m+1 с наименьшим значением поля данных «Смещение фрагмента» С_min, и также удаляют этот пакет сообщений из массива {Р} и запоминают его в массив {Р_доп} (см. блок 23 на рис. 3).

После сравнения суммы параметров E_m из массива сумм параметров {E}, соответствующей ранее запомненному пакету сообщений P_m в массиве дополнительно запомненных пакетов сообщений {P_доп} со значением поля данных «Смещение фрагмента» С_m+1 из массива значений полей данных «Смещение фрагмента» {C}, соответствующего позднее запомненному пакету сообщений P_m+1 в массиве дополнительно запомненных пакетов сообщений {P_доп} (см. блок 24 на рис. 3), если значения не равны, то после принятия решения о наличии компьютерной атаки, запрещают передачу пакетов сообщений в ИВС (см. блок 30 на рис. 3) и производят удаление всех фрагментированных пакетов сообщений пренадлежащих данной совокупности фрагментированных пакетов сообщений, а также удаляют из массивов содержащих значения параметров запомненных пакетов сообщений все данные (см. блок 31 на рис. 3).

В случае равенства значений Е_m и С_m+1 из массива {Р_доп} в ИВС передают пакет сообщения Р_m (см. блок 25 на рис. 3), затем считывают из заголовка пакета сообщения Р_m+1, оставшегося в массиве {Р_доп}, значение его поля данных «Флаг фрагментации» F (см. блок 26 на рис. 3) и при F равным нулю из массива {Р_доп} передают пакет сообщения в ИВС (см. блок 28 на рис. 3), а при F равном единице из массива {Р} фрагментированных пакетов сообщений считывают очередной пакет сообщений с наименьшим значением поля данных «Смещение фрагмента» (см. блок 23 на рис. 3), после чего повторяют действия начиная с запоминания этого очередного пакета сообщения в массив {Р_доп}, причем эти действия повторяют со всеми пакетами из множества {Р}. Процесс определения правильности сборки пакета сообщения, состоящего из четырех фрагментов представлен на рис. 5.

Рис. 5 Процесс определения правильности сборки фрагментированных пакетов сообщений;

Предлагаемый способ защиты ИВС от компьютерных атак позволяет распознавать компьютерные атаки с учетом того, что фрагменты пакета сообщения, из-за задержек в КС (при следовании фрагментов пакета сообщения разными маршрутами) могут поступать на хост-получатель в произвольном порядке (на рис. 5. представлен вариант, когда третий фрагмент пакета сообщения был выделен из КС ранее второго фрагмента).

2.3 Анализ реализации технического результата путем создания макета программного комплекса и проведения эксперимента

Возможность реализации сформулированного технического результата была проверена путем создания макета программного комплекса и проведения натурного эксперимента.

Эксперимент производился следующим образом: с помощью программно-аппаратных средств объединены три сегмента ИВС, построенных по технологиям Token Ring (IBM, 16 Мбит/с) (MTU =17914 байта) (один сегмент) и построенный по технологии DIX Ethernet (MTU = 1500 байта) (два сегмента). Причем объединение произвели таким образом, чтобы на атакуемый хост поступали не только фрагментированные пакеты сообщений, но и пакеты сообщений не подверженные фрагментации (см. рис. 6).

В ходе эксперимента был смоделирован поток сообщений поступающий на вход атакуемого хоста ИВС, включающий совокупности фрагментированных пакетов сообщений, подверженные компьютерным атакам типа Teardrop и Teardrop 2, описанные в книге Норткан С, Новак Д. Обнаружение нарушений безопасности в сетях, 3-е издание.: Пер. с англ. - М.: Издательский дом «Вильямс», 2003. - 448 с.: ил.

Рис. 6. Схема ИВС, используемая в эксперименте.

В ходе эксперимента были выявлены следующие типы пакетов сообщений, поступающие на атакуемый хост:

· Нефрагментированые пакеты сообщений - пакеты сообщений, поступившие на атакуемый хост, построенный по технологии DIX Ethernet из сегмента построенного по такой же технологии через сегмент построенный по технологии Token Ring;

· Фрагментированные пакеты сообщений, не подверженные несанкционированным воздействиям, поступившие из сегмента построенного по технологии Token Ring;

· Фрагментированные пакеты сообщений, подверженные несанкционированным воздействиям, характеризующим компьютерные атаки типа Teardrop;

· Фрагментированные пакеты сообщений, подверженные несанкционированным воздействиям, характеризующим компьютерные атаки типа Teardrop 2.

При проведении эксперимента, в первом случае блок распознавания (обнаружения) компьютерной атаки, реализующий предлагаемый способ защиты ИВС от компьютерных атак был отключен. В результате атаки данного типа были не обнаружены, а операционная система хоста-получателя вышла из строя (атака Teardrop), во втором случае (атака Teardrop 2), хост-получатель был заблокирован (атака типа «Отказ в обслуживании). Результаты эксперимента при отключенном блоке распознавания представлены на рис. 7 а.

При повторном проведении эксперимента при включенном блоке распознавания, были выявлены и заблокированы все смоделированные последовательности фрагментированных пакетов сообщений несущие несанкционированные воздействия (см. рис. 7 б.).

Рис. 7 Интерфейс пользователя программного макета системы защиты иве от компьютерных атак с результатами эксперимента.

Из представленных результатов следуют выводы: для повышения достоверности обнаружения (распознавания) компьютерных атак путем расширения признакового пространства системы защиты заявленный способ обеспечивает повышение устойчивости функционирования ИВС при воздействии компьютерных атак, использующих фрагментированные пакеты сообщений.

Дополнительными положительными свойствами заявленного способа являются: возможность обнаружения распределенных компьютерных атак не только на этапе реализации атаки, но и, что очень важно на этапе сбора нарушителем информации о ИВС.

Выводы

1. Разработан алгоритм, обеспечивающий повышение устойчивости функционирования ИВС в условиях воздействий компьютерных атак, использующих фрагментированные пакеты сообщений за счет повышения достоверности обнаружения (распознавания) компьютерных атак данного типа путем расширения признакового пространства системы защиты и выявлением из совокупности поступающих пакетов сообщений из КС в ИВС фрагментированных пакетов сообщений, предварительной проверки правильности их сборки и выявления компьютерных атак определенного типа, что необходимо для обеспечения доступности обрабатываемой информации в ИВС, так как большинство систем обнаружения вторжений и фильтры пакетов сообщений не поддерживают проверки фрагментированных пакетов или не выполняют их правильной сборки и поэтому не в состоянии выявить компьютерные атаки (а значит, и заблокировать опасный трафик), распределенные среди нескольких фрагментированных пакетов сообщений.

2. Путем создания макета программного комплекса и проведения натурного эксперимента, была проверена возможность реализации сформулированного технического результата.

Список литературы:

Кульгин М. Технологии корпоративных сетей. Энциклопедия. - СПб.:изд. «Питер», 1999г.

Лукацкнй А.В. Обнаружение атак.- СПб.: БХВ-Петербург, 2001 г

Норткан С., Новак Д. Обнаружение нарушений безопасности в сетях.

Олифер В.Г., Олифер Н.А. Компьютерные сети. Принципы, технологии, протоколы: учебник для вузов - СПб - Питер, 2003г

Медведовский И.Д. Атака на Internet.- M., 1999г.

Протоколы интернета. Александр Филимонов. СПб. 2003 г.

Сергеев П.В. Методические указания по написанию экономического обоснования дипломного проекта. М. МГУ, 1992

Правовая охрана и коммерческая реализация программ для ЭВМ и баз данных: Методические указания по дисциплине "Интеллектуальная собственность"/Сост.: Ю.И. Буч, И. С. Терентьева; СПбГЭТУ. СПб., 1998.

Конеев И. Р., Беляев А.В. Информационная безопасность предприятия. - СПб.: БХВ-Петербург, 2003.

10. Ю. Кузнецов В.Е., Лихачев А.М., Паращук И.Б., Присяжнюк С.П. Телекоммуникации. Толковый словарь основных терминов и сокращений. Под редакцией А.М. Лихачева. СП. Присяжнюка. СПб.: Издательство МОРФ, 2001.

Размещено на Allbest.ru