Завантажити PDF файл.

Формула / Реферат

Спосіб виявлення віддалених атак на інформаційну систему, що включає спостереження за діями абонентів при роботі з інформаційною системою, перевірку цих дій за заданими правилами, видачу сигналів для прийняття заходів захисту, який відрізняється тим, що спостереження за діями абонентів виконується безперервно, а аналіз накопичених даних виконується за час, величина якого обумовлена статистичними даними додаткового аналізу інтенсивності роботи абонентів інформаційної системи.

Текст

Спосіб виявлення віддалених атак на інформаційну систему, що включає спостереження за діями абонентів при роботі з інформаційною системою, перевірку цих дій за заданими правилами, видачу сигналів для прийняття заходів захисту, який відрізняється тим, що спостереження за діями абонентів виконується безперервно, а аналіз накопичених даних виконується за час, величина якого обумовлена статистичними даними додаткового аналізу інтенсивності роботи абонентів інформаційної' системи. Корисна модель відноситься до галузі захисту інформаційних систем від несанкціонованого доступу до їх ресурсів, а саме до способів і пристроїв, які забезпечують виявлення віддалених атак та зловживання абонентами інформаційних систем своїми повноваженнями. Відомий спосіб, який реалізовано у рішенні [1], включає до свого складу нагляд за тотальним мережевим трафіком, накопичення даних, перевірку накопичених даних за заданими правилами і вживання відповідних дій при виявленні даних, що відповідають цим правилам. Такий спосіб виявлення атак на мережевому рівні не дозволяє виявляти атаки, що спрямовано на спеціалізовані інформаційні системи з метою отримання несанкціонованого доступу. До того ж він не забезпечує виявлення зловживання повноваженнями абонентами під час роботи з ресурсами інформаційної системи. Обробка мережного трафіка усередині комп'ютерної' мережі вимагає використання високопродуктивного комплексу, та у зв'язку з необхідністю обробки великого обсягу даних сеансів мережних з'єднань не забезпечує своєчасного виявлення атаки й реагування на неї. Найбільш близьким до запропонованого є спосіб виявлення атак на комп'ютерні мережі [2], що дозволяє виявляти атаки у комп'ютерних мережах. До його складу включено спостереження за трафіком пакетів даних, що надходять абонентові, перевірку цих пакетів за заданими правилами й подачу сигналу для вживання заходів захисту від несанкціонованого доступу за результатами пере вірки. Для виявлення спроб несанкціонованого доступу, здійснених від несанкціоновано привласненого імені іншого абонента мережі, проводять спостереження за трафіком адресованих абонентові пакетів даних, що включає постійно поновлюваний підрахунок числа пакетів, який виконується у межах серії пакетів, що надходять підряд один за одним через проміжки часу не більше заданого. При цьому перевірку пакетів даних на відповідність заданим правилам виконують щораз, коли розмір чергової спостережуваної серії досягає критичного числа пакетів. Він вирішує проблему з своєчасним виявленням атаки. Його недоліком є низький рівень виявлення атак на спеціалізовані інформаційні системи та зловживання повноваженнями. Для своєчасного блокування подальших дій порушника необхідно додатково впроваджувати фільтрацію мережного потоку. В основу корисної моделі покладено задачу підвищення рівня виявлення віддалених атак на інформаційну систему та зловживання повноваженнями з боку абонентів інформаційної системи шляхом безперервного спостереження за діями абонентів та подальшого аналізу накопичених даних. Поставлена задача вирішується за рахунок того, що спосіб виявлення віддалених атак на інформаційну систему включає до свого складу спостереження за діями абонентів при роботі з інформаційною системою, перевірку цих дій за заданими правилами, видачу сигналів для прийняття заходів захисту, причому спостереження за 00 О) 9182 діями абонентів виконується безперервно, а аналіз накопичених даних виконується за час, велич якого обумовлена статистичними даними додаткового аналізу інтенсивності роботи абонентів інформаційної системи. Спосіб виявлення атак здійснюється наступним чином. Виконується спостереження за діями абонентів, яке забезпечується отриманням даних з системних журналів інформаційної системи, що містять інформацію про запити абонента на доступ до ресурсів інформаційної системи, або аналізом трафіка, який надходить від абонентів до інформаційної системи. Дані про дії' абонентів накопичуються і аналізуються, тобто підлягають перевірці за заданими правилами. За результатом аналізу виконується видача сигналів для прийняття заходів захисту інформаційної системи. Для своєчасного реагування на атаку накопичення даних виконується безупинно, а аналіз накопичених даних виконується через невеликий інтервал часу, величина якого обирається залежно від Інтенсивності роботи абонентів з ресурсами інформаційної' системи і необхідним часом реагування на виявлену атаку. Комп'ютерна верстка М. Мацепо Суттєві ознаки, які співпадають з прототипом, є спостереження за діями абонентів, перевірку цих дій за заданими правилами, видачу сигналів для прийняття заходів захисту. Суттєві ознаки, які відрізняються від прототипу, є безперервне спостереження за діями абонентів, аналіз накопичених даних, що виконується за час, велич якого обумовлена статистичними даними додаткового аналізу інтенсивності роботи абонентів інформаційної системи. Таким чином, заявляємий спосіб побудови системи виявлення віддалених атак на інформаційну систему відповідає критерію корисної моделі "новина". За рахунок виявлення поряд з віддаленими атаками фактів зловживання повноваженнями абонентів інформаційної системи на 28-23% підвищився рівень виявлених атак, що дозволило знизити інформаційні втрати. Джерела інформації: 1. Патент США US 5796942 А від18.08.1998р. 2. Патент Російської Федерації RU 2179738 С2 від 24 04.2002р., МПК7 G06F12/14, 11/00. Підписне Тираж 26 прим. Міністерство освіти і науки України Державний департамент інтелектуальної власності, вул. Урицького, 45, м. Київ, МСП, 03680, Україна ДП "Український інститут промислової власності", вул. Глазунова, 1, м. Київ-42, 01601

Дивитися

Додаткова інформація

Назва патенту англійською

Method for detecting remote intervention in an information system

Автори англійською

Lohvynenko Mykola Fedorovych, Pievniev Volodymyr Yakovych, Serkov Oleksandr Anatoliiovych, Churiumov Hennadii Yakovych, Churiumov Hennadii Ivanovych

Назва патенту російською

Способ обнаружения дистанционного вмешательства в работу информационной системы

Автори російською

Логвиненко Николай Федорович, Певнев Владимир Яковлевич, Серков Александр Анатольевич, Чурюмов Геннадий Иванович

МПК / Мітки

МПК: H04L 12/26, H04L 29/06, G06F 12/14

Мітки: інформаційну, виявлення, атак, віддалених, систему, спосіб

Код посилання

<a href="https://uapatents.com/2-9182-sposib-viyavlennya-viddalenikh-atak-na-informacijjnu-sistemu.html" target="_blank" rel="follow" title="База патентів України">Спосіб виявлення віддалених атак на інформаційну систему</a>

Подібні патенти