Разработка алгоритмов динамического масштабирования вычислительных сетей

Целью заявленного технического решения является разработка способа защиты ИВС от компьютерных атак, обеспечивающего повышение устойчивости функционирования ИВС в условиях несанкционированных воздействий за счет повышения достоверности обнаружения (распознавания) компьютерных атак путем расширения признакового пространства системы защиты, которое используется для выявления фрагментированных пакетов поступающих в ИВС из КС и анализа их параметров. Достижение сформулированной цели необходимо для своевременного предоставления сервисных возможностей абонентам ИВС, а также для обеспечения доступности⁵ обрабатываемой информации.

Поставленная цель достигается тем, что в способе защиты ИВС от компьютерных атак заключающемся в том, что принимают i-й, где i=1,2,3…, пакет сообщения из КС, запоминают его, принимают (i+1)-й пакет сообщения, запоминают его, выделяют из запомненных пакетов сообщений характеризующие их параметры, сравнивают их и по результатам сравнения принимают решение о факте наличия или отсутствия компьютерной атаки, предварительно задают массив {P} для запоминания P?1 фрагментированных пакетов сообщений и массивы для запоминания параметров, выделенных из запомненных пакетов сообщений: S?1 значений поля данных «Общая длина», С?1 значений поля данных «Смещение фрагмента», E?1 сумм значений полей данных «Общая длина» и «Смещение фрагмента» запомненных пакетов сообщений соответственно {S}, {C} и {E}. Кроме того, предварительно задают массив {P_доп} для запоминания дополнительных P_доп?1 фрагментированных пакетов сообщений. Причем после приема из КС i-го пакета сообщения из его заголовка выделяют значение поля данных «Флаг фрагментации» F_i . При его значении равном нулю, передают i-й пакет сообщения в ИВС, после чего принимают (i+1)-й пакет сообщения из КС. При значении поля даных «Флаг фагментации» i-го пакета сообщения равным единице, запоминают i-й пакет сообщения, выделяют из его заголовка значение поля данных «Идентификатор» N_i и запоминают его. Выделяют из заголовка значения полей данных «Общая длина» S_i и «Смещение фрагмента» C_i . Запоминают их в соответствующих массивах {S} и {C}. Вычисляют сумму E_i запомненного i-го пакета собщения E_i=S_i+C_i и запоминают ее в массив {Е}. Кроме того, приняв из КС (i+1)-й пакет сообщения, из его заголовка выделяют значение поля данных «Идентификатор» N_i+1, сравнивают его со значением поля данных «Идентификатор» N_i i-го пакета сообщения. При их несовпадении передают (i+1)-й пакет сообщения в ИВС, после чего принимают из КС очередной пакет сообщения. При совпадении значений полей данных «Идентификатор» i-го и (i+1)-го пакета сообщений запоминают (i+1)-й пакет сообщения, выделяют из его заголовка значения полей данных «Общая длина» S_i+1, «Смещение фрагмента» C_i+1 и запоминают их в соответствующих массивах {S} и {C}. Вычисляют сумму E_i+1=S_i+1+C_i+1 и запоминают ее в массив {Е}. Считывают из заголовка (i+1)-го пакета сообщения значение поля данных «Флаг фрагментации» F_i+1. При его равенстве единице повторяют действия, начиная с принятия из КС очередного пакета сообщения и сравнения полей данных «Идентификатор», причем эти действия повторяют до приема из КС пакета сообщения, принадлежащего совокупности N_i фрагментированых пакетов сообщений, со значением поля данных «Флаг фрагментации» равном нулю. При значении поля данных «Идентификатор» (i+1)-го пакета сообщения равном нулю, из массива {Р} фрагментированных пакетов сообщений считывают, из числа ранее запомненных пакетов сообщений, пакет сообщения Р_m , где m = 1,2,3… с наименьшим значением поля данных «Смещение фрагмента» С_min. Удаляют этот пакет сообщений из массива {Р} и запоминают его в массив {Р_доп} для дополнительных фрагментированных пакетов сообщений. После чего из числа оставшихся в массиве {Р} фрагментированных пакетов сообщений вновь считывают пакет сообщений Р_m+1 с наименьшим значением поля данных «Смещение фрагмента» С_min. Также удаляют этот пакет сообщений Р_m+1 из массива {Р} и запоминают его в массив {Р_доп}. После чего сравнивают сумму Е_m из массива {Е}, соответствующую запомненному в массиве {Р_доп} пакету сообщения Р_m, со значением поля данных «Смещение фрагмента» С_m+1, принадлежащим пакету сообщения Р_m+1, запомненному последним в массив {Р_доп}. При неравенстве значений Е_m и С_m+1 принимают решение о наличии компьютерной атаки, запрещают передачу в ИВС всех пакетов сообщений, сохраненных в массиве {Р} и удаляют все значения из массивов {Р}, {Р_доп}, {S}, {C} и {E}. При равенстве значений Е_m и С_m+1 из массива {Р_доп} в ИВС передают пакет сообщения Р_m. Затем считывают из заголовка пакета сообщения Р_m+1, оставшегося в массиве {Р_доп}, значение его поля данных «Флаг фрагментации» F. При F равным нулю из массива {Р_доп} передают пакет сообщения в ИВС, а при F равном единице из массива {Р} фрагментированных пакетов сообщений считывают очередной пакет сообщений с наименьшим значением поля данных «Смещение фрагмента» C_min. После чего повторяют действия начиная с запоминания очередного пакета сообщения в массив {Р_доп}, причем эти действия повторяют со всеми пакетами из множества {Р}.

Известно, что фрагментация используется при необходимости передачи IP-дейтаграммы⁶ через сегмент ИВС, в которой максимально допустимая единица передачи данных (maximum transmission unit -- MTU⁷) меньше размера этой дейтаграммы. Если размер дейтаграммы превышает это значение, то на маршрутизаторе, который передает данную дейтаграмму, должна быть выполнена ее фрагментация.

Фрагменты передаются по адресу назначения, где хост⁸-получатель должен выполнить их повторную сборку. На пути доставки фрагментированных пакетов они могут подвергаться дальнейшей фрагментации, если необходима их передача через сегмент сети с еще меньшим MTU. Значения MTU для различных технологий построения ИВС представлены в таблице 1 (рис.1). Практически во всех стеках протоколов есть протоколы, отвечающие за фрагментацию сообщений прикладного уровня на такие части, которые укладывались бы в кадры канального уровня. В стеке ТСР/IP эту задачу решает протокол ТСР, который разбивает поток байтов, передаваемый ему с прикладного уровня, на сегменты нужного размера. Протокол IP на хосте-отправителе, как правило, не использует свои возможности по фрагментации пакетов. А вот на маршрутизаторе, когда пакет необходимо передать из сети с большим значением MTU в сеть с меньшим значением MTU, способности протокола IP выполнять фрагментацию становятся востребованными.

Значения MTU для наиболее популярных технологий существенно отличаются, а это значит что в ИВС, которой должна быть свойственна гетерогенность, фрагментация не является редким явлением.

В функции протокола IP входит разбиение ставшего при передаче недопустимо длинным пакета на более короткие пакеты-фрагменты, каждый из которых должен быть снабжен полноценным IP-заголовком. Некоторые из полей заголовка -- идентификатор N, флаг фрагментации F, смещение С -- непосредственно предназначены для проведения последующей сборки фрагментов в исходное сообщение.

Процедуры фрагментации и сборки протокола IP рассчитаны на то, чтобы пакет сообщения можно было разбить на практически любое количество частей, которые впоследствии могли бы быть вновь собраны. Получатель фрагмента использует поле «Идентификатор» N для того, чтобы опознать все фрагменты одного и того же пакета. Маршрутизатор, на котором происходит разбиение (разбор) пакета сообщения на совокупность пакетов, устанавливает в поле «Идентификатор» значение, которое должно быть уникальным для данной последовательности фрагментированных пакетов.

Поле «Смещение фрагмента» сообщает хосту-получателю положение фрагмента в исходном пакете сообщения. Сумма значений полей данных «Смещение фрагмента» и «Общая длина» определяют часть исходного пакета, принесенную этим и предыдущими фрагментами.

Флаг фрагментации F показывает появление последнего фрагмента. Во всех фрагментированных пакетах одной совокупности флаг фрагментации равен единице, за исключением последнего (флаг фрагментации равен нулю).

Нарушители также используют фрагментацию на разных этапах своих атак с целью сокрытия своих действий и зондирования сетей, а также для запуска вредоносных программ. Атаки отказа в обслуживании основаны на использовании большого количества фрагментированных пакетов, что приводит к чрезмерной трате ресурсов атакованной ИВС.

Поиск эффективных технических решений повышения устойчивости функционирования ИВС в условиях распределенных компьютерных атак может быть осуществлен, путем повышения эффективности функционирования системы защиты, которого можно достичь за счет повышения достоверности обнаружения (распознавания) компьютерных атак, использующих фрагментацию пакетов сообщений, путем расширения признакового пространства системы защиты, которое осуществляется путем анализа информации хранящейся во фрагментах пакетов сообщений, необходимой для успешной сборки в первоначальное состояние на хосте-получателе:

* Каждый фрагмент единого пакета сообщений связан с другим фрагментом с помощью общего для всех фрагментов идентификационного номера. Этот номер копируется из поля «Идентификатор» заголовка IP-дейтаграммы, и, если пакет фрагментирован, его называют идентификатором фрагмента (fragment ID);

* Каждый фрагмент хранит информацию о своем месте, т. е. о смещении относительно исходного (нефрагментированного) пакета сообщения. В каждом фрагменте указан размер передаваемых в нем данных.

* Каждый фрагмент уведомляет о наличии следующих за ним фрагментов. Для этой цели служит флаг фрагментации F (More Fragments -- следующий фрагмент).

Заявленный способ реализуют следующим образом. Структура пакетов сообщений такова:

Пакет IP состоит из заголовка и поля данных. Заголовок пакета имеет следующие поля:

Поле Номер версии (VERS) указывает версию протокола IP. Сейчас повсеместно используется версия 4 и готовится переход на версию 6, называемую также IPng (IP next generation).

Поле Длина заголовка (HLEN) пакета IP занимает 4 бита и указывает значение длины заголовка, измеренное в 32-битовых словах. Обычно заголовок имеет длину в 20 байт (пять 32-битовых слов), но при увеличении объема служебной информации эта длина может быть увеличена за счет использования дополнительных байт в поле Резерв (IP OPTIONS).

Поле Тип сервиса (SERVICE TYPE) занимает 1 байт и задает приоритетность пакета и вид критерия выбора маршрута. Первые три бита этого поля образуют подполе приоритета пакета (PRECEDENCE). Приоритет может иметь значения от О (нормальный пакет) до 7 (пакет управляющей информации). Маршрутизаторы и компьютеры могут принимать во внимание приоритет пакета и обрабатывать более важные пакеты в первую очередь. Поле Тип сервиса содержит также три бита, определяющие критерий выбора маршрута. Установленный бит D (delay) говорит о том, что маршрут должен выбираться для минимизации задержки доставки данного пакета, бит Т - для максимизации пропускной способности, а бит R - для максимизации надежности доставки.

Поле Общая длина (TOTAL LENGTH) занимает 2 байта и указывает общую длину пакета с учетом заголовка и поля данных.

Поле Идентификатор пакета (IDENTIFICATION) занимает 2 байта и используется для распознавания пакетов, образовавшихся путем фрагментации исходного пакета. Все фрагменты должны иметь одинаковое значение этого поля.

Поле Флаги (FLAGS) занимает 3 бита, оно указывает на возможность фрагментации пакета (установленный бит Do not Fragment -

DF - запрещает маршрутизатору фрагментировать данный пакет), а также на то, является ли данный пакет промежуточным или последним фрагментом исходного пакета (установленный бит More Fragments - MF -говорит о том пакет переносит промежуточный фрагмент).

Поле Смещение фрагмента {FRAGMENT OFFSET) занимает 13 бит, оно используется для указания в байтах смещения поля данных этого пакета от начала общего поля данных исходного пакета, подвергнутого фрагментации. Используется при сборке/разборке фрагментов пакетов при передачах их между сетями с различными величинами максимальной длины пакета.

Поле Время жизни (TIME ТО LIVE) занимает 1 байт и указывает предельный срок, в течение которого пакет может перемещаться по сети. Время жизни данного пакета измеряется в секундах и задается источником передачи средствами протокола IP. На шлюзах и в других узлах сети по истечении каждой секунды из текущего времени жизни вычитается единица; единица вычитается также при каждой транзитной передаче (даже если не прошла секунда). При истечении времени жизни пакет аннулируется.

Идентификатор Протокола верхнего уровня (PROTOCOL) занимает 1 байт и указывает, какому протоколу верхнего уровня принадлежит пакет (например, это могут быть протоколы TCP, UDP или RIP).

Контрольная сумма (HEADER CHECKSUM) занимает 2 байта, она рассчитывается по всему заголовку.

Поля Адрес источника (SOURCE IP ADDRESS) и Адрес назначения (DESTINATION IP ADDRESS) имеют одинаковую длину - 32 бита, и одинаковую структуру.

Поле Резерв (IP OPTIONS) является необязательным и используется обычно только при отладке сети. Это поле состоит из нескольких подполей, каждое из которых может быть одного из восьми предопределенных типов. В этих подполях можно указывать точный маршрут прохождения маршрутизаторов, регистрировать проходимые пакетом маршрутизаторы, помещать данные системы безопасности, а также временные отметки. Так как число подполей может быть произвольным, то в конце поля Резерв должно быть добавлено несколько байт для выравнивания заголовка пакета по 32-битной границе.

Максимальная длина поля данных пакета ограничена разрядностью поля, определяющего эту величину, и составляет 65535 байтов, однако при передаче по сетям различного типа длина пакета выбирается с учетом максимальной длины пакета протокола нижнего уровня, несущего IP-пакеты. Если это кадры Ethernet, то выбираются пакеты с максимальной длиной в 1500 байтов, умещающиеся в поле данных кадра Ethernet.

Протоколы транспортного уровня (протоколы TCP или UDP), пользующиеся сетевым уровнем для отправки пакетов, считают, что максимальный размер поля данных IP-пакета равен 65535, и поэтому могут передать ему сообщение такой длины для транспортировки через интерсеть. В функции уровня IP входит разбиение слишком длинного для конкретного типа составляющей сети сообщения на более короткие пакеты с созданием соответствующих служебных полей, т.е. фрагментация, нужных для последующей сборки фрагментов в исходное сообщение.

В большинстве типов локальных и глобальных сетей определяется такое понятие как максимальный размер поля данных кадра или пакета, в которые должен инкапсулировать свой пакет протокол IP. Эту величину обычно называют максимальной единицей транспортировки - Maximum Transfer Unit, MTU. Сети Ethernet имеют значение MTU, равное 1500 байт, сети FDDI - 4096 байт, а сети Х.25 чаще всего работают с MTU в 128 байт.

Например, на рис. 2 представлена структура заголовка IP-дейтаграммы. Полужирным шрифтом выделены поля данных заголовка

пакета сообщения, по которым определяют правильность сборки фрагментированных пакетов.

Рис.2

На рис. 3 представлена блок-схема алгоритма, реализующего заявленный способ защиты ИВС от компьютерных атак. Данный алгоритм позволяет выявить и произвести анализ одной последовательности фрагментированных пакетов. При обнаружении в канале связи нескольких последовательностей фрагментированных пакетов, данный алгоритм будет выполняться для каждой из обнаруженных последовательностей.



Рис. 3 Блок-схема алгоритма, реализующего заявленный способ защиты ИВС от компьютерных атак;

В блок-схеме приняты следующие обозначения:

{P} - массив для запоминания фрагменированных пакетов сообщений;

{S} - массив для запоминания значений полей данных «Общая длина», выделенных и запомненных фрагментированых пакетов сообщений;

{С} - массив для запоминания значений полей данных «Смещение фрагмента», выделенных и запомненных фрагментированых пакетов сообщений;

{E} - массив для запоминания суммы значений полей данных «Общая длина» и «Смещение фрагмента», выделенных и запомненных фрагментированых пакетов сообщений;

{P_доп} - массив для дополнительного запоминания фрагментированных пакетов сообщений;

F - значение поля данных «Флаг фрагментации»;

N - значение поля данных «Идентификатор».

Предварительно задают (см. блок 1 на рис. 3) массив {P} для запоминания P?1 фрагментированных пакетов сообщений. Максимальная размерность данного массива будет зависеть от отношений MTU передаваемого сегмента ИВС и принимаемого т.е.

(1)

Например, при передачи пакета сообщения из сегмента построенного по технологии Token Ring (IBM, 16 Мбит/с) (MTU =17914 байта) в сегмент сети построенный по технологии DIX Ethernet (MTU =1500 байта) максимальная размерность массива равна двенадцати разрядам.

Также предварительно задают массивы для запоминания параметров, выделенных из запомненных пакетов сообщений, S?1 значений поля данных «Общая длина», С?1 значений поля данных «Смещение фрагмента», E?1 сумм значений полей данных «Общая длина» и «Смещение фрагмента» запомненных пакетов сообщений {S}, {C}, {E} соответственно. Разрядность данных массивов будет равна разрядности массива хранящего фрагментированные пакеты сообщений одной последовательности. А также задают массив {P_доп} для запоминания дополнительных P_доп?1 фрагментированных пакетов сообщений. Разрядность данного массива будет равна двум разрядам. Кроме того, первоначально данные множества будут пустые.

Из КС принимают (см. блок 2 на рис. 3) i-ый пакет сообщения, где i=1,2,3… и выделяют (см. блок 3 на рис. 3) из заголовка принятого пакета значение поля данных «Флаг фрагментации» F_i. Затем выясняют (см. блок 4 на рис. 3) равно ли значение поля данных «Флаг фрагментации» нулю. Равенство при этой проверке означает, что принятый пакет сообщений не является фрагментированным. В этом случае принятый из КС пакет сообщений передается в ИВС (см. блок 5 на рис. 3), а из КС принимается очередной (i+1)-й пакет сообщения, при этом в последующем осуществляется выделение и анализ значения поля данных «Флаг фрагментации» F_i+1. Данная проверка осуществляется с целью выявления факта поступления из КС фрагментированных пакетов в ИВС.

При получении из КС фрагментированного пакета сообщения (значение поля данных «Флаг фрагментации» равно единице), принятый пакет сообщения запоминают в массив {P} (см. блок 7 на рис. 3). При этом независимо, каким из принятых из КС и проанализированных пакетов сообщений он был первым, вторым или i-м, он сохраняется в первую ячейку массива {P} (см. рис. 4). Из заголовка сохраненного пакета сообщения выделяют (см. блок 8 на рис. 3) и запоминают значение поля данных «Идентификатор», а значения полей данных «Смещение фрагмента» и «Общая длина» сохраняют в массивы {С} и {S} соответственно (см. блок 9 на рис. 3). При чем значения сохраняются в первые ячейки массивов, т.к. пакет сообщений сохранен в первую ячейку. Затем находят сумму значений полей данных «Смещение фрагмента» и «Общая длина» запомненного пакета сообщений E. Данная сумма показывает на сколько должен быть смещен следующий принятый фрагментированный пакет принадлежащий данной совокупности пакетов. Полученное значение сохраняется в первую ячейку массива {E} (см. блок 10 на рис. 3).

Далее принимают из КС следующий пакет сообщений (см. блок 11 на рис. 3). Установив наличие поступающих в ИВС фрагментированных пакетов сообщений, осуществляем выделение и запоминание пакетов сообщений из поступающей последовательности из КС, пакетов принадлежащих данной совокупности фрагментированных пакетов. Для этого из принятого пакета сообщений выделяем значение поля данных «Идентификатор» N_i+1 (см. блок 12 на рис. 3). Сравниваем его значение со значением поля данных «Идентификатор» N_i пакета сообщения запомненного ранее (см. блок 13 на рис. 3). В случае отсутствия совпадения значений полей данных «Идентификатор» принятого пакета сообщения и пакета сообщения запомненного ранее, первый передается в ИВС (см. блок 14 на рис. 3), а из КС принимается следующий пакет сообщения с целью установления принадлежности к анализируемой совокупности фрагментированных пакетов.

В случае выявления принадлежности принятого пакета сообщения к совокупности анализируемой последовательности фрагментированных пакетов (значения полей данных «Идентификатор» принятого и запомненного ранее пакетов сообщений равны), не зависимо каким был принят и проанализирован данный пакет сообщения из КС (например, (i+k)-й пакет собщений) запоминают принятый пакет сообщения в следующую (вторую, третью и т.д.) ячейку массива {P} (см. блок 16 на рис. 3). Выделяют из заголовка принятого пакета сообщения значения полей данных «Общая длина» и «Смещение фрагмента» (см. блок 17 на рис. 3) и запоминают их значения соответственно в массивы {S} и {C} в ячейки с номерами, соответствующими номеру ячейки, в которую был сохранен анализируемый пакет сообщений (см. блок 18 на рис. 3). Затем вычисляют и запоминают сумму значений полей данных «Смещение фрагмента» и «Общая длина» запомненного пакета сообщений (см. блок 19 на рис. 3) и сохраняют в соответствующую ячейку массива {E}. Например, если был выявлен второй пакет сообщений, принадлежащий данной совокупности фрагментированных пакетов сообщений ((i+k)-й пакет собщений), он помещается во вторую ячейку массива {P}, а значения его полей данных и сумма этих значений, также помещаются во вторые ячейки соотвествующих массивов. Такая же процедура размещения осуществляется и с третьим (например, с (i+k+t)-м) и с четвертым (например, с (i+k+t+q)-м) пакетом сообщений. Процесс выявления фраментированного пакета сообщения, состоящего из четырех фрагментов, принадлежащих одной последовательности, представлен на рис. 4.

Рис. 4 Процесс выявления фрагментированных пакетов

Для определения является ли принятый пакет сообщения последним из совокупности анализируемых фрагментированных пакетов, из заголовка принятого пакета сообщения выделяют значение поля данных «Флаг фрагментации» (см. блок 17 на рис. 3), запоминают его (см. блок 18 на рис. 3) и выясняют (см. блок 20 на рис. 3) равно ли значение поля данных «Флаг фрагментации» F нулю. Неравенство при этой проверке означает, что принятый пакет сообщений не является последним пакетом сообщений принадлежащим анализируемой совокупности фрагментированных пакетов сообщений. В этом случае повторяют действия начиная с принятия из КС очередного пакета сообщения (см. блок 11 на рис. 3) и сравнения полей данных «Идентификатор» (см. блок 13 на рис. 3), причем эти действия повторяют до приема из КС пакета сообщения, принадлежащего совокупности N_i фрагментированых пакетов сообщений, со значением поля данных «Флаг фрагментации» равном нулю (см. блок 20 на рис. 3). В этом случае приступают к анализу запомненных пакетов сообщений в массив {P}, с целью определения правильности сборки всей совокупности выявленных фрагментированных пакетов сообщений.

Для анализа запомненных пакетов сообщений в массив {P}, с целью определения правильности сборки всей совокупности фрагментированных пакетов сообщений из совокупности запомненных пакетов сообщений считывают из числа ранее запомненных пакетов сообщений пакет сообщения P_m, где m=1,2,3…, которому соответствует наименьшее значение поля данных «Смещение фрагмента» С_min. Выделенный пакет сообщения удаляют из массива {P} и запоминают его в массив {P_доп} для фрагментированных пакетов сообщений выделенных дополнительно (см. блок 22 на рис. 3). После чего из числа оставшихся в массиве {Р} фрагментированных пакетов сообщений вновь считывают пакет сообщений P_m+1 с наименьшим значением поля данных «Смещение фрагмента» С_min, и также удаляют этот пакет сообщений из массива {Р} и запоминают его в массив {Р_доп} (см. блок 23 на рис. 3).

После сравнения суммы параметров E_m из массива сумм параметров {E}, соответствующей ранее запомненному пакету сообщений P_m в массиве дополнительно запомненных пакетов сообщений {P_доп} со значением поля данных «Смещение фрагмента» С_m+1 из массива значений полей данных «Смещение фрагмента» {C}, соответствующего позднее запомненному пакету сообщений P_m+1 в массиве дополнительно запомненных пакетов сообщений {P_доп} (см. блок 24 на рис. 3), если значения не равны, то после принятия решения о наличии компьютерной атаки, запрещают передачу пакетов сообщений в ИВС (см. блок 30 на рис. 3) и производят удаление всех фрагментированных пакетов сообщений пренадлежащих данной совокупности фрагментированных пакетов сообщений, а также удаляют из массивов содержащих значения параметров запомненных пакетов сообщений все данные (см. блок 31 на рис. 3).

В случае равенства значений Е_m и С_m+1 из массива {Р_доп} в ИВС передают пакет сообщения Р_m (см. блок 25 на рис. 3), затем считывают из заголовка пакета сообщения Р_m+1, оставшегося в массиве {Р_доп}, значение его поля данных «Флаг фрагментации» F (см. блок 26 на рис. 3) и при F равным нулю из массива {Р_доп} передают пакет сообщения в ИВС (см. блок 28 на рис. 3), а при F равном единице из массива {Р} фрагментированных пакетов сообщений считывают очередной пакет сообщений с наименьшим значением поля данных «Смещение фрагмента» (см. блок 23 на рис. 3), после чего повторяют действия начиная с запоминания этого очередного пакета сообщения в массив {Р_доп}, причем эти действия повторяют со всеми пакетами из множества {Р}. Процесс определения правильности сборки пакета сообщения, состоящего из четырех фрагментов представлен на рис. 5.



Рис. 5 Процесс определения правильности сборки фрагментированных пакетов сообщений;

Предлагаемый способ защиты ИВС от компьютерных атак позволяет распознавать компьютерные атаки с учетом того, что фрагменты пакета сообщения, из-за задержек в КС (при следовании фрагментов пакета сообщения разными маршрутами) могут поступать на хост-получатель в произвольном порядке (на рис. 5. представлен вариант, когда третий фрагмент пакета сообщения был выделен из КС ранее второго фрагмента).

3.2 Анализ реализации технического результата путем создания макета программного комплекса и проведения эксперимента

Возможность реализации сформулированного технического результата была проверена путем создания макета программного комплекса и проведения натурного эксперимента.

Эксперимент производился следующим образом: с помощью программно-аппаратных средств объединены три сегмента ИВС, построенных по технологиям Token Ring (IBM, 16 Мбит/с) и построенный по технологии DIX Ethernet. Причем объединение произвели таким образом, чтобы на атакуемый хост поступали не только фрагментированные пакеты сообщений, но и пакеты сообщений не подверженные фрагментации (рис. 6).

Рис. 6 Схема ИВС, используемая в эксперименте.

В ходе эксперимента был смоделирован поток сообщений поступающий на вход атакуемого хоста ИВС, включающий совокупности фрагментированных пакетов сообщений, подверженые компьютерным атакам типа Teardrop и Teardrop 2, описанные в книге Норткан С, Новак Д. Обнаружение нарушений безопасности в сетях, 3-е издание.: Пер. с англ. - М.: Издательский дом «Вильямс», 2003. - 448 с.: ил.

В ходе эксперимента были выявлены следующие типы пакетов сообщений, поступающие на атакуемый хост:

· Нефрагментированые пакеты сообщений - пакеты сообщений, поступившие на атакуемый хост, построенный по технологии DIX Ethernet из сегмента построенного по такой же технологии через сегмент построенный по технологии Token Ring;

· Фрагментированные пакеты сообщений, не подверженные несанкционированным воздействиям, поступившие из сегмента построенного по технологии Token Ring;

· Фрагментированные пакеты сообщений, подверженные несанкционированным воздействиям, характеризующим компьютерные атаки типа Teardrop;

· Фрагментированные пакеты сообщений, подверженные несанкционированным воздействиям, характеризующим компьютерные атаки типа Teardrop 2.

При проведении эксперимента, в первом случае блок распознавания (обнаружения) компьютерной атаки, реализующий предлагаемый способ защиты ИВС от компьютерных атак был отключен. В результате атаки данного типа были не обнаружены, а операционная система хоста-получателя вышла из сторя (атака Teardrop), во-втором случае (атака Teardrop 2), хост-получатель был заблокирован (атака типа «Отказ в обслуживании). Результаты эксперимента при отключенном блоке распознавания представлены на рис. 7 а.

При повторном проведении эксперимента при включенном блоке распознавания, были выявлены и заблокированы все смоделированные последовательности фрагментированных пакетов сообщений несущие несанкционированные воздействия (см рис. 7 б.).

Рис. 7 Интерфейс пользователя программного макета системы защиты иве от компьютерных атак с результатами эксперимента.

Из представленных результатов следуют выводы: для повышения достоверности обнаружения (распознавания) компьютерных атак путем расширения признакового пространства системы защиты заявленный способ обеспечивает повышение устойчивости функционирования ИВС при воздействии компьютерных атак, использующих фрагментированные пакеты сообщений.

Дополнительными положительными свойствами заявленного способа являются: возможность обнаружения распределенных компьютерных атак не только на этапе реализации атаки, но и, что очень важно на этапе сбора нарушителем информации о ИВС.

Выводы по разделу

1 .Разработан алгоритм, обеспечивающий повышение устойчивости функционирования ИВС в условиях воздействий компьютерных атак, использующих фрагментированные пакеты сообщений за счет повышения достоверности обнаружения (распознавания) компьютерных атак данного типа путем расширения признакового пространства системы защиты и выявлением из совокупности поступающих пакетов сообщений из КС в ИВС фрагментированных пакетов сообщений, предварительной проверки правильности их сборки и выявления компьютерных атак определенного типа, что необходимо для обеспечения доступности обрабатываемой информации в ИВС, так как большинство систем обнаружения вторжений и фильтры пакетов сообщений не поддерживают проверки фрагментированных пакетов или не выполняют их правильной сборки и поэтому не в состоянии выявить компьютерные атаки (а значит, и заблокировать опасный трафик), распределенные среди нескольких фрагментированных пакетов сообщений.

2. Путем создания макета программного комплекса и проведения натурного эксперимента, была проверена возможность реализации сформулированного технического результата.

4. Экономическое обоснование научно-технического проекта

4.1 Концепция экономического обоснования разработки научно-технического продукта

Разработка алгоритма относится к электросвязи и может быть использовано в системах защиты от компьютерных атак путем их оперативного выявления и блокирования в информационно-вычислительных сетях (ИВС). Например, в сетях передачи данных (СПД) типа «Internet», основанных на семействе коммуникационных протоколов TCP/IP (Transmission Control Protocol / Internet Protocol) и описанных в книге Кульгин М. Технологии корпоративных сетей. Энциклопедия. - СПб.: Издательство «Питер», 1999. - 704с: ил.

Заявленное техническое решение расширяет арсенал средств данного назначения.

Известен способ защиты от компьютерных атак, реализованный в патенте РФ № 2179738, «Способ обнаружения удаленных атак¹ в компьютерной сети», класс G06F 12/14, заявл. 24.04.2000. Известный способ включает следующую последовательность действий. Наблюдение за информационным потоком адресованных абоненту ИВС пакетов сообщений, включающее постоянно возобновляемый подсчет числа пакетов, выполняемый в пределах серии пакетов, поступающих из канала связи (КС) подряд друг за другом через промежутки времени не более заданного. При этом проверку поступающих пакетов данных на соответствие заданным правилам выполняют каждый раз, когда размер очередной наблюдаемой серии достигает критического числа пакетов.

Недостатками данного способа являются узкая область применения, что обусловлено его предназначением в основном для защиты от подмены одного из участников соединения и недостаточная достоверность при обнаружении других типов компьютерных атак. В аналоге применяют ограниченную совокупность признаковых описаний компьютерных атак.

При этом не учитывают наличия большого количества типов компьютерных атак, в частности типов, атак использующих фрагментацию пакетов передаваемых между сегментами ИВС, что создает условия для пропуска последних и, как следствие, приводит к снижению устойчивости функционирования ИВС.

Известен также способ, позволяющий по изменению состояния элемента ИВС обнаруживать компьютерные атаки, по патенту РФ №2134897, класс G06F 17/40, «Способ оперативного динамического анализа состояний многопараметрического объекта», заявл. 20.08.1999. В известном способе преобразуют результаты допусковой оценки разнородных динамических параметров в соответствующие информационные сигналы с обобщением по всему множеству параметров в заданном временном интервале и определяют относительную величину и характер изменения интегрального состояния многопараметрического элемента ИВС.

Недостатком данного способа является узкая область применения, обусловленная тем, что несмотря на возможность оперативной диагностики технического и функционального состояний многопараметрического элемента ИВС, в нем применяют ограниченную совокупность признакового пространства, что создает условия для пропуска удаленных компьютерных атак (см. Медведовский И. Д. и др. Атака на Internet. - М.: ДМК, 1999. - 336 с: ил.) и, как следствие, приводит к снижению устойчивости функционирования ИВС.

Наиболее близким по своей технической сущности к заявленному является способ защиты от компьютерных атак, реализованный в устройстве по патенту РФ № 2219577, «Устройство поиска информации», класс G06F 17/40, заявл. 24.04.2002. Способ-прототип заключается в том, что принимают из КС i-ый пакет, где i=1,2,3,... и запоминают его. Принимают (i+1)-ыЙ пакет, запоминают его. Выделяют из заголовка i-гo и (i+7)-го пакетов идентификационные признаки, анализируют их на предмет совпадения и по результатам анализа принимают решение о факте наличия компьютерной атаки.

По сравнению с аналогами, способ-прототип может быть использован в более широкой области, когда применяют совокупность признакового пространства, позволяющую определять семейство компьютерных атак определенного типа, что необходимо для повышения достоверности определения факта компьютерных атак на ИВС, проявляющихся в снижении устойчивости функционирования ИВС.

Недостатком прототипа является относительно низкая устойчивость функционирования ИВС в условиях воздействия компьютерных атак, связанная с тем, что сравнением двух пакетов сообщений - последующего и предыдущего, распознается только одно семейство компьютерных атак -«шторм⁴» ложных запросов на установление соединения, тогда как компьютерные атаки других типов, обладающие высокими деструктивными возможностями, не распознаются.

Целью алгоритма является разработка способа защиты ИВС от компьютерных атак, обеспечивающего повышение устойчивости функционирования ИВС в условиях несанкционированных воздействий за счет повышения достоверности обнаружения (распознавания) компьютерных атак путем расширения признакового пространства системы защиты, которое используется для выявления фрагментированных пакетов поступающих в ИВС из КС и анализа их параметров. Достижение сформулированной цели необходимо для своевременного предоставления сервисных возможностей абонентам ИВС, а также для обеспечения доступности обрабатываемой информации.

4.2 Определение стоимости разработки системы

Стоимость разработки системы определяется по фактическим затратам, произведенным за счет собственных финансовых средств предприятия. В основе определения стоимости разработки лежит перечень выполненных работ и их трудоемкость (таблица 1).

Таблица 1 Перечень работ и их трудоёмкость

Наименование работ:	Трудоёмкость, человеко-дни
	Инженер	Начальник отдела
Разработка технического задания	4	1
Поиск уже существующих решений и их анализ	4	1
Разработка методов решения задачи	4	1
Выбор способа тестирования	3	1
Изучение технических материалов и литературы	10	--
Разработка спецификации	8	1
Тестирование	5	1
Сдача проекта	1	1
Итого:	39	7

Исходя из трудоемкости выполнения работ по разработке системы, рассчитываются издержки на оплату труда ее исполнителей, являющиеся одной из основных статей калькуляции себестоимости разработки.

Калькуляция полной себестоимости разработки осуществляется по следующим статьям:

материалы, полуфабрикаты и комплектующие изделия с учетом транспортно-заготовительных расходов;

спецоборудование для экспериментальных работ;

основная и дополнительная заработная плата основных исполнителей работы;

отчисления на социальные нужды;

расходы на служебные командировки;

оплата услуг сторонних организацией, привлекаемых для выполнения данной разработки;

прочие прямые затраты;

накладные расходы.

Стоимость основных и вспомогательных расходных материалов, покупных полуфабрикатов и комплектующих изделий, необходимых для выполнения разработки, определяется исходя их величины их расхода, действующих цен и транспортно-заготовительных расходов. Величина транспортно-заготовительных расходов принимается равной 7-10% стоимости материалов, полуфабрикатов и комплектующих изделий.

В данном расчете на статью "Материалы" относятся расходы на материалы основные и вспомогательные, покупные полуфабрикаты и комплектующие изделия, использованные при выполнении разработки.

Калькуляция расходов по статье "Материалы" приведены в табл.2.

Таблица 2 Калькуляция расходов по статье "Материалы"

Материалы	Количество	Цена, руб.	Сумма, руб.
Бумага для принтера, пачка	3	120,00	360,00
Картридж для принтера, шт.	1	1000,00	1000,00
CD-RW, шт.	2	40,00	80,00
Расходы на получение патента на разрабатываемую систему защиты	1	3300	3300
ИТОГО:		4740,00
Транспортно-заготовительные расходы, 10%		474,00
ВСЕГО:		5214,00

В качестве расходов на оплату услуг сторонних организаций при выполнении данной разработки выступает плата за использование Internet. Величина платы рассчитывается по формуле:

С_ар = t_ap Р_{ар ,}

где С_ар - сумма арендной платы; t_ap - время аренды = 200 ч.; Р_ар - часовая ставка арендной платы = 20 руб.

С_ар = 200* 20 = 4 000 руб.

Основная и дополнительная заработная плата непосредственных исполнителей разработки рассчитывается на основании следующих данных:

Трудоемкость выполнения работ Теп и Т инж (по табл. 1.),

Дневная ставка гл. специалиста Дсп = 500 руб.,

Дневная ставка инженера Динж = 300 руб.,

Процент дополнительной заработной платы -- 12%,

Процент отчислений на социальные нужды - 26,2%,

Процент накладных расходов (по данным предприятия) - 15%, Основная заработная плата исполнителей рассчитывается по формуле

С_{30 =} Т_сп Дсп + Т_июк Динж ,

где Т_сп и Т_июк - соответственно, трудоемкость выполнения работ по реализации данной разработки главным специалистом и инженером, чел.-дн.

С₃₀ = 7 * 500 + 39 * 300 = 15 200 руб. Дополнительная заработная плата рассчитывается по формуле

С_зд = 15 200 * 0,12 = 1 824 руб. Отчисления на социальные нужды рассчитываются по формуле

С_сн = (15200+1824)*0,262= 4 460 руб.

Накладные расходы рассчитываются по формуле

С_нр = (15 200 + 1 824+5214+4460+4000) * 0,15 = 4604 руб.

На основании полученных данных в табл. 3. приведена калькуляция себестоимости разработки.

Таблица 3 Калькуляция себестоимости разработки.

Статья затрат	Сумма, руб
Материалы	5 214
Основная заработная плата	15 200
Дополнительная заработная плата	1 824
Отчисления на социальные нужды	4 460
Аренда Internet	4 000
Накладные расходы	4 604
ИТОГО себестоимость:	35 302

4.3 Оценка эффективности

Для современных организаций, активно использующих информационные технологии для хранения и обмена данными, значима проблема информационной безопасности, которая основывается на принципах конфиденциальности, целостности и доступности информации. Известно, что если нарушена целостность около 40% информации, такая организация может быть разорена. Одним из примеров нарушения целостности является преднамеренное искажение информации. Для того, что противодействовать атакам, ставящим целью искажения информации, необходимы действенные средства обнаружения атак. По приблизительной оценке результатов дипломного проектирования эффективность обнаружения атак предложенных средств обнаружения на 12,5% выше, чем среднестатический показатель у подобных систем. Стоимость работ по разработке предложенного алгоритма, а именно 35 302 рубля, что ниже в три раза чем стоимость подобных систем. Можно сделать вывод, что реализация

5. Интеллектуальная собственность

Формирование рынка научно-технической продукции, в основе которой всегда лежат новые знания как результат интеллектуальной деятельности человека, требует внимательного отношения к вопросам защиты имущественных прав в отношении таких достижений и умелого использования предоставляемых законодательством различных форм охраны этих прав.

Ноу-хау или служебная и коммерческая тайна - это информация, в отношении которой установлен особый режим охраны. В отличие от монопольного права на использование, например, запатентованного изобретения, в отношении ноу-хау закон охраняет право владельца на защиту его имущественных интересов в случае незаконного способа получения или разглашения этой информации третьими лицами. Условия таких гарантий со стороны закона - неизвестность этой информации, а также принятие надлежащих мер по сохранению ее в тайне со стороны владельца.

Охрана ноу-хау как форма защиты имущественных прав в значительной степени дополняет возможности законодательства в области промышленной собственности и авторского права (или в общем - интеллектуальной собственности) и представляет несомненный интерес в сфере инновационной деятельности.

Если, например, патентное законодательство устанавливает достаточно жесткие требования к объектам, на которые может быть выдан патент исключительного права, то к ноу-хау с точки зрения их содержания (вида объекта) не предъявляется никаких ограничений. Это существенно расширяет возможности правовой охраны новых достижений в любой сфере деятельности.

Использование этой формы может также значительно расширить временные и территориальные рамки действия охраны и, следовательно, коммерческого использования ноу-хау. В отличие от патентной монополии, которая всегда ограничена по времени и имеет силу только в пределах государства, от имени которого выдан патент, пользоваться ноу-хау как неизвестной другим информацией, при известных обстоятельствах, можно значительно дольше, а продавать такие знания - в любой стране.

В то же время, одна и та же информация может быть, например, заявлена как изобретение с целью получения патента, или может быть сохранена в тайне как ноу-хау. Поэтому, когда мы говорим о ноу-хау, необходимо иметь в виду не столько особый объект, сколько особый способ защиты имущественных прав.

Выбор формы охраны достижений зависит от многих факторов - вероятности раскрытия или самостоятельного получения этой информации конкурентом, времени жизни технологии по ноу-хау, затрат на обеспечение конфиденциальности и др. Наилучший результат, как правило, достигается благодаря удачному сочетанию патентной формы охраны и сохранения в тайне определенной части информации.

Основная забота в выявлении ноу-хау, а главное, в обеспечении конфиденциальности лежит на его владельце. Последнее составляет предмет особого внимания, поскольку возможностей для раскрытия (каналов утечки) этой информации достаточно много.

Наконец, дополнительные трудности составляет тот факт, что само понятие ноу-хау в отечественном законодательстве впервые появилось совсем недавно: сначала - в статье 151 Основ гражданского законодательства Союза ССР и республик 1991 года [1], а позднее, как "служебная и коммерческая тайна" - в статье 139 нового Гражданского Кодекса Российской Федерации [2], первая часть которого вступила в силу с 1 января 1995 года, и пока не сформировалось должного понимания и практики использования этой формы охраны достижений, а существующие публикации на эту тему, как правило, представлены в специализированных изданиях и не доступны широкому кругу разработчиков - создателей научно-технической продукции. Восполнить в некоторой степени этот пробел призвана настоящая брошюра.

К сожалению, со времени выпуска первого издания этой брошюры отечественное законодательство в вопросах ноу-хау (коммерческой и служебной тайны) не продвинулось сколь либо заметно. Не была принята очередная часть Гражданского Кодекса Российской Федерации, посвященная вопросам интеллектуальной собственности, остались в качестве законопроектов многочисленные варианты проектов законов о коммерческой и служебной тайне. С другой стороны, отрадно сознавать, что это вовсе не мешает развитию практической деятельности изобретателей, научных и производственных компаний, вузов по защите прав на результаты интеллектуальной деятельности и их коммерческому использованию. В частности, подтверждением этого оказался сохранившийся интерес вузов к данной брошюре, третье издание которой, исправленное и дополненное, подготовлено по заказу Минобразования России.

Ноу-хау как объект гражданских прав

Термин "ноу-хау" (know how) впервые был использован в договорной практике между компаниями Великобритании и США. Первоначально под ноу-хау понимали информацию, специально опущенную заявителем в описании изобретения, и придавали смысл - "знать, как применять патент". Со временем термин ноу-хау утратил свое первоначальное значение и стал пониматься буквально - "знать, как сделать". Этому способствовало и то, что ноу-хау стало самостоятельным объектом сделок, в том числе, не связанных с запатентованными изобретениями.

Определение ноу-хау

Существуют различные определения ноу-хау. В частности, известный специалист в этой области - немецкий юрист Г. Штумпф, отмечая большое их разнообразие и не выделяя единственно правильного, определяет ноу-хау как, "...техническое, коммерческое и производственно-экономическое знание и опыт, использование которых покупателем ноу-хау позволяет и дает ему возможность произвести и реализовать предмет по соглашению, а также осуществлять другую производственную деятельность, как, например, организацию и управление производством" [3].

Для отечественных разработчиков более известным было определение, данное в "Инструкции о порядке работы по продаже лицензий и оказанию услуг типа "инжиниринг" [4], где под ноу-хау понимаются: