RU213782U1 - Маршрутизатор с проактивной защитой вычислительной сети от сетевой разведки - Google Patents
Маршрутизатор с проактивной защитой вычислительной сети от сетевой разведки Download PDFInfo
- Publication number
- RU213782U1 RU213782U1 RU2021131739U RU2021131739U RU213782U1 RU 213782 U1 RU213782 U1 RU 213782U1 RU 2021131739 U RU2021131739 U RU 2021131739U RU 2021131739 U RU2021131739 U RU 2021131739U RU 213782 U1 RU213782 U1 RU 213782U1
- Authority
- RU
- Russia
- Prior art keywords
- output
- input
- network
- module
- fpga
- Prior art date
Links
- 238000009114 investigational therapy Methods 0.000 title 1
- 230000000873 masking Effects 0.000 claims description 34
- 239000011159 matrix material Substances 0.000 claims description 30
- 230000000903 blocking Effects 0.000 claims description 29
- 238000004364 calculation method Methods 0.000 claims description 6
- 230000005540 biological transmission Effects 0.000 description 16
- 238000000034 method Methods 0.000 description 11
- 210000004544 DC2 Anatomy 0.000 description 4
- 238000004458 analytical method Methods 0.000 description 4
- 230000001010 compromised Effects 0.000 description 4
- 230000001066 destructive Effects 0.000 description 4
- 230000002530 ischemic preconditioning Effects 0.000 description 4
- 238000005183 dynamical system Methods 0.000 description 3
- 230000036039 immunity Effects 0.000 description 3
- 238000005259 measurement Methods 0.000 description 3
- 230000002633 protecting Effects 0.000 description 3
- 230000004044 response Effects 0.000 description 3
- 235000010384 tocopherol Nutrition 0.000 description 3
- 235000019731 tricalcium phosphate Nutrition 0.000 description 3
- 241000979940 Blueberry virus A Species 0.000 description 2
- 230000000875 corresponding Effects 0.000 description 2
- 238000001514 detection method Methods 0.000 description 2
- 238000004088 simulation Methods 0.000 description 2
- 230000003068 static Effects 0.000 description 2
- 230000001360 synchronised Effects 0.000 description 2
- WHBMMWSBFZVSSR-UHFFFAOYSA-N β-Hydroxybutyric acid Chemical compound CC(O)CC(O)=O WHBMMWSBFZVSSR-UHFFFAOYSA-N 0.000 description 2
- 238000007476 Maximum Likelihood Methods 0.000 description 1
- 230000004913 activation Effects 0.000 description 1
- 230000006399 behavior Effects 0.000 description 1
- 230000015572 biosynthetic process Effects 0.000 description 1
- 238000004422 calculation algorithm Methods 0.000 description 1
- 238000005291 chaos (dynamical) Methods 0.000 description 1
- 230000001934 delay Effects 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 238000003379 elimination reaction Methods 0.000 description 1
- 238000001914 filtration Methods 0.000 description 1
- 239000003365 glass fiber Substances 0.000 description 1
- 238000009434 installation Methods 0.000 description 1
- 230000000737 periodic Effects 0.000 description 1
- 238000004321 preservation Methods 0.000 description 1
- 230000001681 protective Effects 0.000 description 1
- 238000003786 synthesis reaction Methods 0.000 description 1
- 230000002194 synthesizing Effects 0.000 description 1
- 230000001131 transforming Effects 0.000 description 1
Images
Abstract
Полезная модель относится к области сетей передачи данных. Техническим результатом является повышение результативности защиты за счет снижения вероятности обнаружения злоумышленником факта использования средств защиты и идентификации их характеристик. В маршрутизатор с проактивной защитой вычислительной сети от сетевой разведки дополнительно введены модуль генерации ложного трафика, блок вычисления показателя самоподобия, блок генерации параметров сетевого уровня, блок генерации параметров транспортного уровня. 3 з.п. ф-лы, 5 ил.
Description
Предлагаемая полезная модель относится к области сетей передачи данных и маршрутизируемых сетей с коммутацией пакетов сообщений, в частности, к модульным масштабируемым структурам для построения маршрутизаторов быстрого Ethernet, и может быть использована для реализации безопасного (защищенного) информационного обмена через сети связи общего пользования, такие как Интернет, маскирования параметров ЛВС от сетевой разведки и управления сетевыми соединениями со злоумышленником, а также генерации ложного сетевого трафика.
Известен аналог «Система защиты для связанных компьютерных сетей» по патенту РФ №2152691 МПК G06F12/14, опубл. 10.07.2000 г., заключающийся в том, что устройство содержит первую сетевую материнскую плату и вторую сетевую материнскую плату, каждая из указанных первой и второй сетевых материнских плат имеет сетевой интерфейсный адаптер для обмена с указанными первой и второй компьютерными сетями соответственно, каждая из указанных сетевых материнских плат дополнительно имеет адаптер передачи для обмена с адаптером передачи другой сетевой материнской платы, указанные адаптеры передачи являются парными и идентичными, каждая из сетевых материнских плат имеет сетевые программные средства для предотвращения передачи информации об услугах маршрутизации между сетевыми интерфейсными адаптерами и адаптером передачи каждой из сетевых материнских плат, каждая сетевая материнская плата дополнительно содержит программные средства преобразования протокола, препятствующие прохождению информации протокола верхнего уровня и информации об адресе источника и адресе назначения между указанным сетевым интерфейсным адаптером и указанным адаптером передачи каждой сетевой материнской платы, причем по меньшей мере одна из сетевых материнских плат имеет промежуточные программные средства интерфейса прикладных программ для предоставления услуг обмена на уровне прикладной задачи компьютерам, подключенным к указанной по меньшей мере одной сетевой материнской плате.
Недостатком данного устройства является низкая скрытность информационных направлений при организации связи между компьютерными сетями через сети связи общего пользования, такие как Интернет.
Известно устройство защиты канала связи вычислительной сети по патенту РФ №2306599, МПК G06F 21/00, опубл. 10.09.2007 г., заключающееся в том, что устройство содержит локальный сегмент защиты (ЛСЗ), первый и второй вход/выходы которого подключены соответственно к ЛВС и маршрутизатору, подключенному к сети Интернет, и содержащий блок хранения базы адресов (БХБА), процессор, блок кодирования/декодирования (КД), информационные вход и выход, входы «пароль» и «тип преобразования» которого подключены к соответствующим портам процессора, в ЛСЗ дополнительно введены блок выбора адреса (БВА), блок оперативного хранения текущих адресов (БОХТА), первый и второй сетевой адаптер (СА). Управляющий вход БВА подключен к порту «адрес» процессора, а x-разрядный выход блока выбора адреса подключен к jc-разрядному входу БХБА. У БХБА m-разрядный выход подключен к поразрядному входу БОХТА. Управляющий вход и m-разрядный выход БОХТА подключены соответственно к порту «запрос текущего адреса» и m-разрядному порту «текущий адрес» процессора. У первого СА n-разрядные выход и вход подключены соответственно к n-разрядным входу «исходный пакет» и выходу «исходный пакет» процессора. Причем выход «локальная сеть» первого СА является первым входом/выходом ЛСЗ. У второго СА p-разрядные вход и выход подключены соответственно к p-разрядным выходу и входу «информация/уведомление» процессора, а t-разрядный порт «управление» процессора подключен к t-разрядному управляющему входу второго СА. Выход «сеть Интернет» второго СА является вторым входом/выходом ЛСЗ.
Недостатками данного устройства являются узкая область применения и относительно низкая помехоустойчивость. Узость области применения обусловлена отсутствием поддержки протоколов маршрутизации и, как следствие, невозможностью использования устройства для информационного обмена через сети связи общего пользования, такие как Интернет, без дополнительного маршрутизатора. Относительно низкая помехоустойчивость обусловлена тем, что наличие в сетях передачи данных преднамеренных и непреднамеренных помех приводит к потерям пакетов в процессе их передачи, что приводит к сбоям процесса приема и передачи пакетов сообщений в процессе смены адресной информации.
Известен мультисервисный маршрутизатор, по патенту РФ №186859, МПК H06L 12/701 (2013.01), опубл. 06.02.2019 Бюл. №4. Аналог относится к сетям передачи данных, в частности к модульной, масштабируемой структуре для построения маршрутизаторов сетей быстрого Ethernet. Мультисервисный маршрутизатор содержит коммутационный блок и маршрутный процессор, соединенные между собой первыми входами/выходами, троичную ассоциативную память, выход которой соединен с третьим входом маршрутного процессора; первый процессорный модуль, первый вход/выход которого соединен с третьим входом/выходом коммутационного блока; второй процессорный модуль, первый вход/выход которого соединен со вторым входом/выходом коммутационного блока; модуль высокоскоростной обработки пакетных данных с неблокируемой высокоскоростной матрицей коммутации на базе ПЛИС (FPGA), первый выход которого соединен со вторым входом первого процессорного модуля, второй выход - со вторым входом второго процессорного модуля, а третий выход - со вторым входом маршрутного процессора; первый СОМ порт, вход/выход которого соединен с третьим входом/выходом первого процессорного модуля; второй СОМ порт, вход/выход которого соединен с третьим входом/выходом второго процессорного модуля; первый Ethernet порт, вход/выход которого соединен с четвертым входом/выходом первого процессорного модуля; второй Ethernet порт, вход/выход которого соединен с четвертым входом/выходом второго процессорного модуля; N SFP модулей, входы/выходы которых соединены, соответственно, с N входами/выходами маршрутного процессора; модуль синхронизации, первый выход которого соединен с пятым входом модуля высокоскоростной обработки пакетных данных с неблокируемой высокоскоростной матрицей коммутации на базе ПЛИС (FPGA) а второй выход - с четвертым входом модуля высокоскоростной обработки пакетных данных с неблокируемой высокоскоростной матрицей коммутации на базе ПЛИС (FPGA).
В данном аналоге поддерживают протоколы маршрутизации, обеспечивают надежное и непрерывное определение текущего времени и выдачу сигналов, синхронизированных с назначенной системной шкалой времени, чем достигают обеспечение возможности синхронизации устройств. За счет фильтрации сетевых пакетов и преобразования (трансляции) сетевых адресов устройство позволяет скрывать IP-адреса абонентов подсетей друг от друга.
Недостатком аналога является относительно невысокая безопасность и скрытность работы канала связи. Указанный недостаток обусловлен тем, что каналы связи удаленных сегментов вычислительной сети, связанных такими устройствами через сеть Интернет, легко выделяются путем анализа трафика в некоторой точке сети Интернет, так как для них характерна высокая интенсивность обмена пакетами сообщений с одинаковыми адресами внешних интерфейсов маршрутизаторов. При этом оказывается возможным определение адресов удаленных сегментов вычислительной сети и раскрытие структуры распределенной вычислительной сети. Такой информации достаточно для нарушения информационного обмена, либо для осуществления деструктивных воздействий по отношению к распределенной вычислительной сети, в частности - на само устройство.
Наиболее близким техническим решением, принятым за прототип, является полезная модель «Мультисервисный маршрутизатор с управлением параметрами сетевых соединений и маскированием вычислительной сети», по патенту РФ №205636, МПК H04L 12/701 (2013.01), опубл. 23.07.2021 Бюл. №21. Прототип относится к области сетей передачи данных и маршрутизируемых сетей с коммутацией пакетов сообщений, в частности, к модульным масштабируемым структурам для построения маршрутизаторов быстрого Ethernet, и может быть использована для реализации безопасного (защищенного) информационного обмена через сети связи общего пользования, такие как Интернет, а также для маскирования параметров ЛВС от сетевой разведки и управления сетевыми соединениями со злоумышленником. Мультисервисный маршрутизатор с управлением параметрами сетевых соединений и маскированием вычислительной сети, содержащий коммутационный блок и маршрутный процессор, соединенные между собой первыми входами/выходами, троичную ассоциативную память, первый выход которой соединен с третьим входом маршрутного процессора, процессорный модуль, первый вход/выход которого со вторым входом/выходом коммутационного блока, модуль высокоскоростной обработки пакетных данных с неблокируемой высокоскоростной матрицей коммутации на базе ПЛИС (FPGA), седьмой выход которого соединен со вторым входом процессорного модуля, первый выход - со вторым входом маршрутного процессора; СОМ-порт, первый вход/выход которого соединен с четвертым входом/выходом процессорного модуля, Ethernet порт, первый вход/выход которого соединен с третьим входом/выходом процессорного модуля; N SPF-модулей, входы/выходы которых соединены, соответственно, c N входами/выходами маршрутного процессора; модуль синхронизации, первый выход которого соединен с шестым входом модуля с неблокируемой высокоскоростной матрицей коммутации на базе ПЛИС (FPGA), а второй выход соединен с пятым входом с неблокируемой высокоскоростной матрицей коммутации на базе ПЛИС (FPGA), модуль маскирования информационных направлений, первый вход которого соединен с седьмым выходом процессорного модуля, четвертый выход соединен со вторым входом блока изменения параметров канального уровня, первый выход которого соединен со вторым входом троичной ассоциативной памяти, третий выход модуля маскирования информационных направлений соединен со вторым входом блока изменения параметров сетевого уровня, первый выход которого соединен с третьим входом троичной ассоциативной памяти, второй вход модуля маскирования информационных направлений соединен со вторым выходом модуля высокоскоростной обработки пакетных данных с неблокируемой высокоскоростной матрицей коммутации на базе ПЛИС (FPGA), модуль управления параметрами ЛВС, блок изменения параметров сетевого уровня ЛВС, модуль управления сетевыми соединениями; блок изменения параметров сетевых соединений, первый вход модуля управления параметрами ЛВС соединен с пятым выходом процессорного модуля, второй вход соединен с четвертым выходом модуля высокоскоростной обработки пакетных данных с неблокируемой высокоскоростной матрицей коммутации на базе ПЛИС (FPGA), третий выход модуля управления параметрами ЛВС соединен со вторым входом блока изменения параметров сетевого уровня ЛВС, первый выход которого соединен с пятым входом троичной ассоциативной памяти, первый вход модуля управления сетевыми соединениями соединен с шестым выходом процессорного модуля, второй вход соединен с третьим выходом модуля высокоскоростной обработки пакетных данных с неблокируемой высокоскоростной матрицей коммутации на базе ПЛИС (FPGA), третий выход модуля управления сетевыми соединениями соединен со вторым входом блока изменения параметров сетевых соединений, первый выход которого соединен с четвертым входом троичной ассоциативной памяти.
В данном прототипе обеспечивают безопасность и скрытность работы канала связи в сети Интернет за счет синхронного изменения IP-адресов узлов ЛВС и IP-адресов внешних интерфейсов маршрутизаторов в рамках нескольких подсетей, через интервалы времени, изменяемые адаптивно, в зависимости от особенностей функционирования системы передачи данных и действий злоумышленника, невозможность для него идентифицировать как информационные направления вычислительной сети, так и параметры ее локальных сегментов. Также введение перечисленных новых элементов обеспечивает удержание злоумышленника в продолжительном соединении, обеспечивающем дополнительное время для завершения критических соединений и последующего изменения IP-адресов узлов ЛВС и внешних интерфейсов маршрутизаторов, без снижения доступности информации для клиентов вычислительной сети, а также время для принятия системой безопасности дополнительных мер защиты.
Недостатком устройства-прототипа является относительно низкая результативность защиты, обусловленная высокой вероятностью обнаружения злоумышленником факта использования средств защиты вычислительной сети и идентификации их характеристик. Это обусловлено тем, что после синхронного изменения IP-адресов узлов ЛВС и IP-адресов внешних интерфейсов маршрутизаторов в рамках нескольких подсетей, после обнаружения факта вредоносного воздействия злоумышленника, и завершения критических соединений, которые нельзя разрывать, в подсети, где ранее был организован сетевой обмен, не останется активных узлов. Это может привести к обнаружению злоумышленником факта использования средств защиты и идентификации их характеристик
Задачей настоящей полезной модели является устранение вышеуказанных недостатков.
Технический результат предлагаемой полезной модели заключается в повышении результативности защиты за счет снижения вероятности обнаружения злоумышленником факта использования средств защиты и идентификации их характеристик.
Технический результат обеспечивается тем, что в мультисервисный маршрутизатор с управлением параметрами сетевых соединений и маскированием вычислительной сети, содержащий коммутационный блок и маршрутный процессор, соединенные между собой первыми входами/выходами, троичную ассоциативную память, первый выход которой соединен с третьим входом маршрутного процессора, процессорный модуль, первый вход/выход которого со вторым входом/выходом коммутационного блока, модуль высокоскоростной обработки пакетных данных с неблокируемой высокоскоростной матрицей коммутации на базе ПЛИС (FPGA), седьмой выход которого соединен со вторым входом процессорного модуля, первый выход - со вторым входом маршрутного процессора; СОМ-порт, первый вход/выход которого соединен с четвертым входом/выходом процессорного модуля; Ethernet порт, первый вход/выход которого соединен с третьим входом/выходом процессорного модуля; N SPF-модулей, входы/выходы которых соединены, соответственно, с N входами/выходами маршрутного процессора; модуль синхронизации, первый выход которого соединен с шестым входом модуля с неблокируемой высокоскоростной матрицей коммутации на базе ПЛИС (FPGA), а второй выход - с пятым входом с неблокируемой высокоскоростной матрицей коммутации на базе ПЛИС (FPGA), модуль маскирования информационных направлений, первый вход которого соединен с седьмым выходом процессорного модуля, четвертый выход - со вторым входом блока изменения параметров канального уровня, первый выход которого соединен со вторым входом троичной ассоциативной памяти, третий выход модуля маскирования информационных направлений соединен со вторым входом блока изменения параметров сетевого уровня, первый выход которого соединен с третьим входом троичной ассоциативной памяти, второй вход модуля маскирования информационных направлений соединен со вторым выходом модуля высокоскоростной обработки пакетных данных с неблокируемой высокоскоростной матрицей коммутации на базе ПЛИС (FPGA), модуль управления параметрами структуры ЛВС; блок изменения параметров сетевого уровня ЛВС; модуль управления сетевыми соединениями; блок изменения параметров сетевых соединений, первый вход модуля управления параметрами ЛВС соединен с пятым выходом процессорного модуля, второй вход соединен с четвертым выходом модуля высокоскоростной обработки пакетных данных с неблокируемой высокоскоростной матрицей коммутации на базе ПЛИС (FPGA), третий выход модуля управления параметрами ЛВС соединен со вторым входом блока изменения параметров сетевого уровня ЛВС, первый выход которого соединен с пятым входом троичной ассоциативной памяти, первый вход модуля управления сетевыми соединениями соединен с шестым выходом процессорного модуля, второй вход соединен с третьим выходом модуля высокоскоростной обработки пакетных данных с неблокируемой высокоскоростной матрицей коммутации на базе ПЛИС (FPGA), третий выход модуля управления сетевыми соединениями соединен со вторым входом блока изменения параметров сетевых соединений, первый выход которого соединен с четвертым входом троичной ассоциативной памяти;
дополнительно введены модуль генерации ложного трафика, блок вычисления показателя самоподобия, блок генерации параметров сетевого уровня, блок генерации параметров транспортного уровня, первый выход модуля генерации ложного трафика соединен с восьмым входом процессорного модуля, второй выход модуля генерации ложного трафика соединен с восьмым входом модуля высокоскоростной обработки пакетных данных с неблокируемой высокоскоростной матрицей коммутации на базе ПЛИС (FPGA), третий выход модуля генерации ложного трафика соединен с первым выходом блока вычисления показателя самоподобия, второй выход блока вычисления показателя самоподобия соединен с первым входом блока генерации параметров сетевого уровня, а третий выход соединен с первым входом блока генерации параметров транспортного уровня, второй выход блока генерации параметров сетевого уровня соединен с шестым входом троичной ассоциативной памяти, второй выход блока генерации параметров транспортного уровня соединен с седьмым входом троичной ассоциативной памяти.
В качестве изменяемых параметров вычисления показателя самоподобия блока вычисления показателя самоподобия выбирают показатель Херста.
В качестве изменяемых параметров сетевого уровня блока генерации параметров сетевого уровня выбирают IP-адреса, время отправки пакетов сообщений, номер подсети.
В качестве изменяемых параметров транспортного уровня блока генерации параметров транспортного уровня выбирают номера сетевых портов, размер пакетов сообщений, протоколы передачи данных.
Все элементы маршрутизатора с проактивной защитой вычислительной сети от сетевой разведки выполнены с использованием цифровых технологий.
Сравнение с прототипом показывает, что заявляемое устройство отличается наличием новых блоков и их связями между ними. Таким образом, заявляемое устройство соответствует критерию «новизна».
Сравнение заявляемого решения с другими техническими решениями показывает, что перечисленные элементы, являются известными, однако их введение в указанной связи с остальными элементами приводит к расширению функциональных возможностей устройства. Это подтверждает соответствие технического решения критерию «существенные отличия».
Введение перечисленных новых элементов в указанной связи с другими элементами приводит к сохранению преимуществ прототипа и устранению его недостатков, образует единый, централизованно управляемый, защитный механизм, обеспечивающий за счет генерации ложного трафика невозможность для злоумышленника обнаружения факта использования средств защиты и идентификации их характеристик. Заявленная полезная модель поясняется чертежами:
фиг.1 - блок-схема маршрутизатора с проактивной защитой вычислительной сети от сетевой разведки;
фиг. 2 - иллюстрация распределения номеров сетевых портов исходного трафика между IP-адресами;
фиг. 3 - иллюстрация продолжительности сессий, количества пакетов сообщений и объема данных, которые передаются в рамках каждой сессии;
фиг 4. - иллюстрация результатов вычисления показателя самоподобия для выделенных параметров исходного сетевого трафика;
фиг. 5 - иллюстрация фазовых портретов генераторов сетевого и транспортного уровня для выделенных параметров исходного сетевого трафика.
Известен способ защиты вычислительных сетей Максимов Р.В., Соколовский С.П., Ворончихин И.С., Гритчин А.Д., Бодякин М.С., Игнатенко А.В. по патенту на изобретение RU 2726900, опубл. 16.07.2020, Бюл. №20, реализующий технику киберманевра - периодического (синхронизированного по времени) или неуправляемого (случайного) изменения сетевых настроек информационных систем (используемого адресного пространства и номеров портов абонентов), в котором при обнаружении злоумышленника DHCP-сервер принудительно прекращает аренду текущих IP-адресов легитимными абонентами информационной системы и направляет им новые сетевые настройки, содержащие IP-адреса из другой, заранее не известной злоумышленнику, подсети. Однако, после переназначения новых сетевых параметров сетевым устройствам абонентов, в подсети, где они ранее функционировали, не останется активных устройств, что будет являться неопровержимым фактом применения средств защиты и в результате проведения очередного цикла сетевой разведки этот факт будет вскрыт злоумышленником, а средства защиты скомпрометированы. Чтобы устранить такую угрозу, необходимо не просто изменять параметры сетевых устройств абонентов в рамках нескольких подсетей, но и «нагружать» сетевые информационные объекты скомпрометированной конфигурации функциями ложных сетевых информационных объектов. Поддерживать таким образом между ними ложный информационный трафик, имеющий статистические характеристики скомпрометированной вычислительной сети, для того, чтобы киберманевр не был обнаружен злоумышленником.
При этом возможны следующие варианты решения задачи реализации ложного информационного трафика.
Предварительная запись сетевого трафика информационной системы и последующая отправка сохраненных пакетов в сеть. При этом временной интервал между пакетами берется из записи сетевого трафика. Недостатки данного подхода, связанные с необходимостью хранения больших объемов данных, очевидны. Кроме того, при относительно небольшом количестве абонентов в информационной системе возможно обнаружение факта повторного использования трафика.
Другим и более предпочтительным способом представляется генерация ложного информационного трафика на основе характеристик реального трафика, которая выполняется ложными сетевыми информационными объектами. Для обеспечения максимального правдоподобия ложного сетевого трафика его статистические свойства должны соответствовать статистическим свойствам информационного трафика объекта защиты. В противном случае применение таких мер защиты будет скомпрометировано, а цели имитации не будут достигнуты.
Таким образом, возникает противоречие между необходимостью реализации эффективного маскирующего обмена и отсутствием унифицированного способа генерации ложного информационного обмена в ЛВС. На устранение указанного противоречия направлена предлагаемая полезная модель.
Устройство работает следующим образом. Функцию маршрутизации пакетов сообщений - определения маршрута следования пакетов сообщений в вычислительных сетях, в устройстве выполняет специализированный маршрутный процессор (1), в котором функционирует программное обеспечение по анализу содержимого пакета сообщений, преобразованию сетевых адресов, направлению к нужному интерфейсу (9) в соответствии с таблицей маршрутизации, которая формируется процессорным модулем (5). Локальная настройка устройства осуществляется через СОМ-порт (8) и Ethernet порт (7), подключенные непосредственно к процессорному модулю (5). Для коммутации N SFP модулей (9) к маршрутному процессору используется коммутационный блок (коммутатор PCI), см. блок 2 на фиг. 1. SFP (от англ. Small Form-factor Pluggable) - промышленный стандарт модульных компактных приемопередатчиков (трансиверов), используемых для подключения платы сетевого устройства (в частности, маршрутизатора) к кабельной линии связи (оптическому волокну или неэкранированной витой паре) и согласования электрических параметров стыка (интерфейса).
Таблица маршрутизации формируется при инициализации устройства, с применением процессорным модулем (5) статической или динамической маршрутизации. Сформированная таблица запоминается в троичной ассоциативной памяти (4), применяемой в устройстве для повышения его быстродействия при поиске в таблице маршрутизации. При поступлении пакета сообщений через модуль SFP (9) маршрутный процессор (1) анализирует заголовок пакета сообщений, и по результатам анализа, в случае обнаружения служебного пакета сообщений, направляет его на процессорный модуль (5) через модуль (3) высокоскоростной обработки пакетных данных с неблокируемой высокоскоростной матрицей коммутации на базе программируемых логических интегральных схем, ПЛИС, или FPGA (от англ. Field-Programmable Gate Array), программируемых пользователем вентильных матриц.
В противном случае, то есть в случае обнаружения транзитного (не служебного пакета сообщений), маршрутный процессор (1) осуществляет поиск маршрутной информации в таблице маршрутизации, хранящейся в троичной ассоциативной памяти (4) и по результатам поиска транслирует пакет сообщений через соответствующий модуль SFP (9) в сеть.
Модуль синхронизации (6) предназначен для обеспечения помехоустойчивости устройства в условиях преднамеренных и непреднамеренных помех, путем обеспечения непрерывного определения текущего времени и выдачи сигналов 10 МГц и 1 Гц в модуль (3) высокоскоростной обработки пакетных данных с неблокируемой высокоскоростной матрицей коммутации на базе ПЛИС (FPGA).
Для повышения безопасности и скрытности работы канала связи в устройстве активируется функция маскирования информационных направлений, для чего инициализируется модуль маскирования информационных направлений (12). При этом инициализация может осуществляться локально, передавая управляющую информацию через СОМ порт (8) и Ethernet порт (7) посредством процессорного модуля (5), седьмой выход (5.7) которого соединен с первым входом (12.1) модуля маскирования информационных направлений (12), или дистанционно, передавая принимаемые модулем SFP (9) служебные пакеты сообщений через маршрутный процессор (1) и модуль (3) высокоскоростной обработки пакетных данных с неблокируемой высокоскоростной матрицей коммутации на базе ПЛИС (FPGA), выход (3.2) которого соединен с входом (12.2) модуля маскирования информационных направлений (12). Инициализация модуля маскирования информационных направлений (12) заключается в получении, декодировании и применении устройством конфигурационной информации, содержащей матрицы связностей маскированных информационных направлений по MAC-адресам и IP-адресам, для повышения результативности защиты по сравнению с устройством-прототипом изменяемых в рамках нескольких подсетей, и значение параметра времени их смены (на практике значение этого параметра выбирают в интервале от 1 до 10 секунд). Для снижения ресурсоемкости защиты, обусловленной необоснованными постоянными изменениями MAC-адресов и IP-адресов, инициализация модуля маскирования информационных направлений (12) осуществляется после каждого из случаев обнаружения попытки несанкционированного сканирования защищаемых сетевых ресурсов, по команде, поступившей от средств сетевой защиты системы передачи данных или же по команде от администратора безопасности.
Декодированные модулем маскирования информационных направлений (12) матрицы связностей маскированных информационных направлений по MAC-адресам и IP-адресам, изменяемых в рамках нескольких подсетей, запоминаются соответственно в блоке (13) изменения параметров канального уровня (MAC-адресов), вход (13.2) которого соединен с выходом (12.4) модуля маскирования информационных направлений (12), и в блоке (14) изменения параметров сетевого уровня (IP-адресов), вход (14.2) которого соединен с выходом (12.3) модуля маскирования информационных направлений (12). Эти матрицы являются указателями для вариации адресов внешнего (внешних) интерфейса (интерфейсов) маршрутизатора, выбранного (выбранных) для организации маскирующих информационных направлений, а их связность, то есть логика маскирования информационных направлений, доступна для чтения из троичной ассоциативной памяти (4), вход (4.2) которой соединен с выходом (13.1) блока (13) изменения параметров канального уровня (MAC-адресов), а вход (4.3) соединен с выходом (14.1) блока (14) изменения параметров сетевого уровня (IP-адресов). Модуль маскирования информационных направлений (12), блок (13) изменения параметров канального уровня (MAC-адресов) и блок (14) изменения параметров сетевого уровня (IP-адресов) могут быть реализованы применением Soft-микропроцессоров и (или) микросхем памяти, например, таких как FeRAM (Ferroelectric Random Access Memory) - ферроэлектрическая энергонезависимая память с использованием специальной сегнетоэлектрической пленки. Память работает со сверхнизким потреблением энергии, высоким быстродействием и практически неограниченным ресурсом циклов перезаписи.
Для маршрутизаторов, в которых модуль маскирования информационных направлений (12) отсутствует или не инициализирован, а также для программного обеспечения, анализирующего доступность сетевых интерфейсов, или анализирующего трафик пакетов сообщений в некоторой точке сети связи общего пользования, маскированное информационное направление будет представляться («выглядеть») как совокупность изменяющихся информационных направлений (MAC- и(или) IP-адресов) в соответствии с установленным значением параметра их смены. Для активизации в устройстве функции маскирования параметров ЛВС, обеспечивающей повышение безопасности и скрытности параметров ЛВС, что особенно актуально для защиты от угроз внутреннего злоумышленника, за счет замены статических параметров ЛВС динамическими, инициализируют модуль управления параметрами ЛВС (10). Для снижения ресурсоемкости защиты инициализацию модуля управления параметрами ЛВС (10) осуществляют синхронно с модулем маскирования информационных направлений (12) после фиксации попытки деструктивных воздействий. Моментом начала изменения параметров является момент получения команды от средств сетевой защиты системы передачи данных или же команды от администратора безопасности. Для повышения скрытности параметров ЛВС изменение IP-адресов ее узлов осуществляется в рамках нескольких подсетей, так же, как и изменение IP-адресов интерфейсов маршрутизаторов модулем маскирования информационных направлений (12).
При этом инициализация модуля управления параметрами ЛВС (13) может осуществляться локально, передавая управляющую информацию через СОМ-порт (8) и Ethernet порт (7) посредством процессорного модуля (5), пятый выход (5.5) которого соединен с первым входом (10.1) управления параметрами ЛВС (10), или дистанционно, передавая принимаемые модулем SFP (9) служебные пакеты сообщений через маршрутный процессор (1) и модуль (3) высокоскоростной обработки пакетных данных с неблокируемой высокоскоростной матрицей коммутации на базе ПЛИС (FPGA), выход (3.4) которого соединен с входом (10.2) модуля управления параметрами ЛВС (13). Инициализация модуля управления параметрами ЛВС (13) заключается в получении, декодировании и применении устройством конфигурационной информации, содержащей IP-адреса узлов ЛВС и значение параметра времени их смены.
После фиксации системой безопасности попытки очередного деструктивного воздействия, модуль управления параметрами ЛВС (13) производит формирование новых значений IP-адресов, но уже с другим номером подсети, отличным от предыдущего и новым значением параметра времени их смены, идентичным значению параметра времени смены IP-адресов, сформированным модулем маскирования информационных направлений (12). Декодированные модулем управления параметрами ЛВС (13) IP-адреса, время их смены и номер подсети запоминают соответственно в блоке (16) изменения параметров сетевого уровня ЛВС, вход (16.2) которого соединен с выходом (10.3) модуля управления параметрами ЛВС (10). Что является указателем для вариации IP-адресов узлов ЛВС, а логика маскирования структуры ЛВС, доступна для чтения из троичной ассоциативной памяти (4), вход (4.5) которой соединен с выходом (16.1) блока (16) изменения параметров сетевого уровня (IP-адресов узлов, времени их аренды, номера подсети). Модуль управления параметрами ЛВС (10) и блок изменения параметров сетевого уровня ЛВС (IP-адресов узлов ЛВС, времени их смены, номера подсети) (16) могут быть реализованы применением Soft-микропроцессоров и (или) микросхем памяти, например, таких как FeRAM (Ferroelectric Random Access Memory) - ферроэлектрическая энергонезависимая память с использованием специальной сегнетоэлектрической пленки. Память работает со сверхнизким потреблением энергии, высоким быстродействием и практически неограниченным ресурсом циклов перезаписи.
При фиксации попытки осуществления деструктивных воздействий на компоненты сети передачи данных, в устройстве активизируют функцию удержания злоумышленника в принудительном сетевом соединении. Активация этой функции реализуется введением в состав мультисервисного маршрутизатора с управлением параметрами сетевых соединений и маскированием вычислительной сети модуля управления сетевыми соединениями (11), блока изменения параметров сетевых соединений (15) и их инициализацией.
Для этого инициализируют модуль управления сетевыми соединениями (11). Инициализация модуля управления сетевыми соединениями (11) может осуществляться локально, передавая управляющую информацию через СОМ порт (8) и Ethernet порт (7) посредством процессорного модуля (5), шестой выход (5.6) которого соединен с первым входом (11.1) модуля управления сетевыми соединениями (11), или дистанционно, передавая принимаемые модулем SFP (9) служебные пакеты сообщений через маршрутный процессор (1) и модуль (3) высокоскоростной обработки пакетных данных с неблокируемой высокоскоростной матрицей коммутации на базе ПЛИС (FPGA), выход (3.3) которого соединен с входом (11.2) модуля управления сетевыми соединениями (11). Инициализация модуля управления сетевыми соединениями (11) заключается в получении, декодировании и применении устройством информации, содержащей начальное значение поля «размер окна» служебного заголовка ответного TCP-пакета сообщений, предназначенного для идентифицированного злоумышленника (на практике значение этого параметра выбирают в интервале от 1 до 30 байт) и значения поля «размер окна» равного нулю для удержания сетевого соединения со злоумышленником на заключительном этапе установления сетевого соединения.
Декодированные модулем управления сетевыми соединениями (11) значения поля «размер окна» служебного заголовка ответного TCP-пакета сообщений для идентифицированного злоумышленника запоминают в блоке (15) изменения параметров сетевых соединений (значение поля «размер окна»), вход (15.2) которого соединен с выходом (11.3) модуля управления сетевыми соединениями (11). Эти значения являются указателями для вариации значениями поля «размер окна» служебного заголовка ответного TCP-пакета сообщений на начальном и конечном этапах установления сетевого соединения, для исключения возможности злоумышленника скомпрометировать средство сетевой защиты по значению поля «размер окна» при помощи специализированных программных средств и удержания злоумышленника в принудительном соединении до истечения времени тайм-аута соединения. Их логика применения доступна для чтения из троичной ассоциативной памяти (4), вход (4.4) которой соединен с выходом (15.2) блока (15) изменения параметров сетевых соединений (значения поля «размер окна»).
Модуль управления сетевыми соединениями (11), блок (15) изменения параметров сетевых соединений (значения поля «размер окна») могут быть реализованы применением Soft-микропроцессоров и (или) микросхем памяти, например, таких как FeRAM (Ferroelectric Random Access Memory) - ферроэлектрическая энергонезависимая память с использованием специальной сегнетоэлектрической пленки. Память работает со сверхнизким потреблением энергии, высоким быстродействием и практически неограниченным ресурсом циклов перезаписи.
Технический результат полезной модели в части повышения результативности защиты достигается включением в устройство и инициализацией модуля генерации ложного сетевого трафика (17), блока вычисления показателя самоподобия (18), блока генерации параметров сетевого уровня (19) и блока генерации параметров транспортного уровня (20). При этом инициализация модуля генерации ложного сетевого трафика (17) может осуществляться локально, передавая управляющую информацию через СОМ порт (8) и Ethernet порт (7) посредством процессорного модуля (5), восьмой выход (5.8) которого соединен с первым входом (17.1) модуля генерации ложного трафика (17), или дистанционно, передавая принимаемые модулем SFP (9) служебные пакеты сообщений через маршрутный процессор (1) и модуль (3) высокоскоростной обработки пакетных данных с неблокируемой высокоскоростной матрицей коммутации на базе ПЛИС (FPGA), выход (3.8) которого соединен с входом (17.2) модуля генерации ложного сетевого трафика (17). Инициализация модуля генерации ложного трафика (17) заключается в считывании параметров информационного обмена, таких как IP-адреса, номера сетевых портов, протоколы передачи данных, размеры пакетов сообщений, длительность сетевых соединений, между абонентами ЛВС в течение заданного времени и декодировании этих параметров.
Декодированные модулем генерации ложного трафика (17) последовательности сетевых пакетов реальных узлов ЛВС вычислительной сети запоминаются в блоке вычисления показателя самоподобия (18), вход (18.1) которого соединен с выходом (17.3) модуля генерации ложного сетевого трафика. Вычисленные показатели самоподобия для каждого параметра сетевого (IP-адреса, время отправки пакетов сообщений, номер подсети) и транспортного (номера сетевых портов, размер пакетов сообщений, протоколы передачи данных) уровней запоминаются, соответственно, в блоке генерации параметров сетевого уровня (19), вход (19.1) которого соединен с выходом (18.2) блока вычисления показателя самоподобия (18), и блоке генерации параметров транспортного уровня (20), вход (20.1) которого соединен с выходом (18.3) блока вычисления показателя самоподобия (18).
Последующая, после изменения параметров сетевых устройств абонентов ЛВС, генерация блоками генерации параметров сетевого уровня (19) и генерации параметров транспортного уровня (20) ложного сетевого трафика, обеспечивает повышение результативности защиты по сравнению с устройством-прототипом. Для исключения необоснованной генерации ложного трафика, инициализация блоков генерации параметров сетевого уровня (19) и генерации параметров транспортного уровня (20) осуществляется после каждого из случаев обнаружения попытки несанкционированного сканирования защищаемых сетевых ресурсов, по команде, поступившей от средств сетевой защиты вычислительной сети или же по команде от администратора безопасности и только после изменения параметров сетевых устройств абонентов вычислительной сети в рамках нескольких подсетей.
Модуль генерации ложного трафика (17), блок генерации параметров сетевого уровня (18), блок генерации параметров транспортного уровня (20), могут быть реализованы применением Soft-микропроцессоров и (или) микросхем памяти, например, таких как FeRAM (Ferroelectric Random Access Memory) - ферроэлектрическая энергонезависимая память с использованием специальной сегнетоэлектрической пленки. Память работает со сверхнизким потреблением энергии, высоким быстродействием и практически неограниченным ресурсом циклов перезаписи.
Иллюстрация принципа генерации ложного трафика представлена на фиг. 2, 3, 4, 5.
Пусть через устройство, в течение заданного времени, было передано некоторое количество пакетов сообщений между узлами ЛВС. У переданных пакетов сообщений были считаны, декодированы и сохранены в блоке вычисления параметров самоподобия (18) такие параметры как: IP-адреса источника и назначения пакетов сообщений, время отправки пакетов сообщений, номер подсети, номера сетевых портов источника и назначения пакетов сообщений, размер пакетов сообщений, протоколы передачи данных.
Фиг 2, а и 2, б иллюстрируют распределение IP-адресов и сетевых портов источника и назначения соответственно, фиг. 3, а, 3, б и 3, в - продолжительность сессий, количество пакетов сообщений и объем данных, которые передаются в рамках каждой сессии между узлами ЛВС.
Имитация ложного информационного трафика для защиты структурно-функциональных характеристик вычислительной сети - непростая задача в виду самоподобия его статистических свойств в IP-сетях, что известно и описано, например, в работе O.I. Sheluhin, S.M. Smolskiy and А.V. Osin, Self-Similar Processes in Telecommunications, Wiley, London, 2007, не только в текущий момент времени, но и ретроспективно. Это означает, что некоторое свойство объекта сохраняется при масштабировании пространства и/или времени. Иначе говорят, что присутствует повторяемость статистических характеристик естественных временных рядов с изменением масштаба.
Известно, что процессы, обладающие свойствами самоподобия, характеризуются наличием последействия за счет факторов, вызывающих сложные зависимости. Результирующий трафик (в общем случае - процесс) становится «пульсирующим»: при относительно низкой средней скорости поступления пакетов сообщений в вычислительной сети возможны большие всплески интенсивности.
Общепринятый показатель самоподобия процесса - показатель Херста, вычисляется по алгоритму анализа скорректированного измененного диапазона, например, предложенному в работах Anis, A.A. The expected value of the adjusted rescaled Hurst range of independent normal summands / A.A. Anis, E.H. Lloyd //Biometrica. - 1976. - №63. - P. 283-298. и Peters, E.E. Fractal Market Analysis: Applying Chaos Theory to Investment and Economics / E.E. Peters. - New York: Wiley, 1994. - 336 p.
Пусть дан временной ряд
в котором последовательно выделяют его начальные отрезки
для каждого из которых вычисляют текущее среднее
Далее для каждого фиксированного 
вычисляют накопленное отклонение для каждого из отрезков длины t:
Основной характеристикой выборки случайного процесса является нормированный размах R/S, где
максимальный размах амплитуд случайного процесса, S - среднеквадратическое отклонение процесса
t - дискретное время с целочисленными значениями; τ - длительность рассматриваемого промежутка времени.
Нормированный размах R/S описывается эмпирическим соотношением 
где Н - показатель Херста. Логарифмируя обе части этого равенства, получают декартовы координаты (хτ, yτ) точек траектории H, ординаты и абсциссы которых соответственно равны:
Требуемая для фрактального анализа ряда R/S-траектория представляется в декартовых логарифмических координатах последовательностью точек, абсциссы которых 
а ординаты 
Фиг. 4 иллюстрирует результаты работы блока вычисления показателя самоподобия для: a - последовательности номеров сетевых портов источника в переданном трафике, б - последовательности номеров сетевых портов назначения, в - последовательности продолжительности сессий передачи данных, г - последовательности размеров переданных данных в рамках сессий, д - последовательности числа пакетов сообщений, переданных в рамках сессий.
Модель генерации характеристик информационного трафика задает множество выходных переменных 
которые могут быть выражены в векторной форме (время τ>0). В общем виде выражение для модели (уравнение регрессии или регрессия в терминах математической статистики) записывается как
где вектор aT представляет собой коэффициенты модели, получаемые по результатам снятия дампа трафика до момента Т включительно, а матрица F - набор аппроксимирующих функций.
В большинстве случаев для анализа поведения динамической системы необходимо изучить только ее аттрактор - компактное подмножество фазового пространства, к которому асимптотически «притягиваются» траектории эволюции всех точек системы, расположенных недалеко от этого подмножества. Его размерность определяет количество информации, необходимое для задания координат точки, принадлежащей аттрактору, в рамках указанной точности.
Фрактальная размерность D может быть выражена через показатель Херста Н соотношением
Аттрактор связан с фрактальной размерностью через корреляционный интеграл С(r), который оценивается непосредственно для последовательности точек (показывает относительное число пар точек, находящихся на расстоянии, не большем r):
где
(функция Хэвисайда), ρ - расстояние между парой точек в n-мерном фазовом пространстве, m - число точек xi на аттракторе.
В работе Tokens F. Detecting Strange Attractors in Turbulence//Dynamical Systems and Turbulence. - Lecture Notes in Mathematics. - Berlin: Springer-Verlag, 1981. V. 898. P. 366-381 показано, что почти для каждой гладкой динамической системы можно вычислить корреляционный интеграл и фрактальную размерность по измерениям только одной из фазовых координат этой системы.
Метод синтеза математической модели процесса, описанный в Давыдов А.Е. Защита и безопасность ведомственных интегрированных инфокоммуникационных систем / А.Е. Давыдов, Р.В. Максимов, О.К. Савицкий. - Москва: Воентелеком, 2015. - 520 с., основан на применении так называемой псевдофазовой реконструкции.
Псевдофазовая реконструкция - это отображение, которое точке x(t) временного ряда ставит в соответствие точку [х(t), x(t+τ),…,х(t+(m-1)⋅τ)]∈Rm, где t - дискретное время 
r - временная задержка (в дискретах времени), и m - размерность пространства вложения. Таким образом, для исходного набора измерений фазовой координаты x(1),x(2),…,x(N), где N - количество измерений, можно реконструировать исходный аттрактор в пространстве точек с задержками [x(t),x(t+τ),…,x(t+(m-1)⋅τ)], таким образом, что он будет сохранять важнейшие топологические свойства и динамику оригинального аттрактора. Размерность m определяется по формуле m≥2[d]+1, где d - фрактальная размерность аттрактора.
Следовательно, для синтеза математической модели сетевого трафика вычислительной сети необходимо вычислить показатель Херста Н для одного из параметров дампа сетевого трафика и затем, используя известные математические модели аттракторов, подобрать их коэффициенты таким образом, чтобы показатель Херста Hs синтезированного временного ряда совпадал с Я с точностью до некоторого ε.
Вычисленные в блоке (18) показатели самоподобия передаются в блоки генерации параметров сетевого (19) и транспортного (20) уровня, в которых происходит подбор коэффициентов нелинейного осциллятора Ван дер Поля, заданного уравнением - 
таким образом, что показатель самоподобия сгенерированной последовательности параметров сетевого трафика будет совпадать с вычисленными в блоке (18) показателями самоподобия с точностью до ε=0.0001.
Фиг. 5 иллюстрирует результаты работы блока генерации параметров сетевого уровня (19) и блока генерации параметров транспортного уровня (20) в виде фазовых портретов нелинейных осцилляторов Ван дер Поля для а - последовательности портов источника в переданном трафике, б - последовательности портов назначения, в - последовательности продолжительности сессий передачи данных, г - последовательности объемов переданных данных в рамках сессий, д - последовательности числа пакетов, переданных в рамках сессий.
Маршрутизатор с проактивной защитой вычислительной сети от сетевой разведки является промышленно применимым, так как он может быть реализован на основе промышленного компьютера с упрощенным набором команд или промышленного микропроцессорного оборудования, позволяющего использовать свободно распространяемое программное обеспечение семейства Unix с открытым исходным кодом по лицензии GNU GPL (например, одноплатные компьютеры Olimex, Intel, Raspberry Pi, Orange Pi, Nano Pi) для построения маршрутизаторов и допускающего установку широкого ассортимента дополнительных плат расширения.
Таким образом, благодаря новой совокупности существенных признаков в заявленной полезной модели обеспечивается достижение технического результата, который заключается в повышении результативности защиты за счет снижения вероятности обнаружения злоумышленником факта использования средств защиты и идентификации их характеристик.
Claims (4)
1. Маршрутизатор с проактивной защитой вычислительной сети от сетевой разведки, содержащий коммутационный блок и маршрутный процессор, соединенные между собой первыми входами/выходами, троичную ассоциативную память, первый выход которой соединен с третьим входом маршрутного процессора, процессорный модуль, первый вход/выход которого соединен со вторым входом/выходом коммутационного блока, модуль высокоскоростной обработки пакетных данных с неблокируемой высокоскоростной матрицей коммутации на базе ПЛИС (FPGA), седьмой выход которого соединен со вторым входом процессорного модуля, первый выход - со вторым входом маршрутного процессора; СОМ-порт, первый вход/выход которого соединен с четвертым входом/выходом процессорного модуля; Ethernet порт, первый вход/выход которого соединен с третьим входом/выходом процессорного модуля; N SPF-модулей, входы/выходы которых соединены, соответственно, с N входами/выходами маршрутного процессора; модуль синхронизации, первый выход которого соединен с шестым входом модуля с неблокируемой высокоскоростной матрицей коммутации на базе ПЛИС (FPGA), а второй выход - с пятым входом с неблокируемой высокоскоростной матрицей коммутации на базе ПЛИС (FPGA), модуль маскирования информационных направлений, первый вход которого соединен с седьмым выходом процессорного модуля, четвертый выход - со вторым входом блока изменения параметров канального уровня, первый выход которого соединен со вторым входом троичной ассоциативной памяти, третий выход модуля маскирования информационных направлений соединен со вторым входом блока изменения параметров сетевого уровня, первый выход которого соединен с третьим входом троичной ассоциативной памяти, второй вход модуля маскирования информационных направлений соединен со вторым выходом модуля высокоскоростной обработки пакетных данных с неблокируемой высокоскоростной матрицей коммутации на базе ПЛИС (FPGA), модуль управления параметрами структуры ЛВС; блок изменения параметров сетевого уровня ЛВС; модуль управления сетевыми соединениями; блок изменения параметров сетевых соединений, первый вход модуля управления параметрами ЛВС соединен с пятым выходом процессорного модуля, второй вход соединен с четвертым выходом модуля высокоскоростной обработки пакетных данных с неблокируемой высокоскоростной матрицей коммутации на базе ПЛИС (FPGA), третий выход модуля управления параметрами ЛВС соединен со вторым входом блока изменения параметров сетевого уровня ЛВС, первый выход которого соединен с пятым входом троичной ассоциативной памяти, первый вход модуля управления сетевыми соединениями соединен с шестым выходом процессорного модуля, второй вход соединен с третьим выходом модуля высокоскоростной обработки пакетных данных с неблокируемой высокоскоростной матрицей коммутации на базе ПЛИС (FPGA), третий выход модуля управления сетевыми соединениями соединен со вторым входом блока изменения параметров сетевых соединений, первый выход которого соединен с четвертым входом троичной ассоциативной памяти, отличающийся тем, что в него дополнительно введены модуль генерации ложного трафика, блок вычисления показателя самоподобия, блок генерации параметров сетевого уровня, блок генерации параметров транспортного уровня, первый выход модуля генерации ложного трафика соединен с восьмым входом процессорного модуля, второй выход модуля генерации ложного трафика соединен с восьмым входом модуля высокоскоростной обработки пакетных данных с неблокируемой высокоскоростной матрицей коммутации на базе ПЛИС (FPGA), третий выход модуля генерации ложного трафика соединен с первым выходом блока вычисления показателя самоподобия, второй выход блока вычисления показателя самоподобия соединен с первым входом блока генерации параметров сетевого уровня, а третий выход соединен с первым входом блока генерации параметров транспортного уровня, второй выход блока генерации параметров сетевого уровня соединен с шестым входом троичной ассоциативной памяти, второй выход блока генерации параметров транспортного уровня соединен с седьмым входом троичной ассоциативной памяти.
2. Маршрутизатор с проактивной защитой вычислительной сети от сетевой разведки, отличающийся тем, что в качестве изменяемых параметров вычисления показателя самоподобия блока вычисления показателя самоподобия выбирают показатель Херста.
3. Маршрутизатор с проактивной защитой вычислительной сети от сетевой разведки, отличающийся тем, что в качестве изменяемых параметров сетевого уровня блока генерации параметров сетевого уровня выбирают IP-адреса, время отправки сетевого пакета, номер подсети.
4. Маршрутизатор с проактивной защитой вычислительной сети от сетевой разведки, отличающийся тем, что в качестве изменяемых параметров транспортного уровня блока генерации параметров транспортного уровня выбирают номера сетевых портов, размер пакетов сообщений, протоколы передачи данных.
Publications (1)
| Publication Number | Publication Date |
|---|---|
| RU213782U1 true RU213782U1 (ru) | 2022-09-28 |
Family
ID=
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| RU218827U1 (ru) * | 2023-04-03 | 2023-06-14 | Акционерное общество "Научно-производственное предприятие "Исток" имени А. И. Шокина" | Граничный маршрутизатор |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| RU2152691C1 (ru) * | 1994-12-07 | 2000-07-10 | Мацусита Электрик Корпорейшн оф Америка | Система защиты для связанных компьютерных сетей |
| US8996728B2 (en) * | 2010-10-01 | 2015-03-31 | Telcordia Technologies, Inc. | Obfuscating network traffic from previously collected network traffic |
| RU2668979C2 (ru) * | 2017-03-28 | 2018-10-05 | Федеральное государственное казенное военное образовательное учреждение высшего образования "Краснодарское высшее военное училище имени генерала армии С.М. Штеменко" Министерство обороны Российской Федерации | Способ маскирования структуры сети связи |
| RU186859U1 (ru) * | 2018-11-21 | 2019-02-06 | Общество с ограниченной ответственностью "БУЛАТ" | Мультисервисный маршрутизатор |
| RU2726900C1 (ru) * | 2019-12-09 | 2020-07-16 | федеральное государственное казенное военное образовательное учреждение высшего образования "Краснодарское высшее военное орденов Жукова и Октябрьской Революции Краснознаменное училище имени генерала армии С.М. Штеменко" Министерства обороны Российской Федерации | Способ защиты вычислительных сетей |
| RU2739151C1 (ru) * | 2020-03-24 | 2020-12-21 | федеральное государственное казенное военное образовательное учреждение высшего образования "Краснодарское высшее военное орденов Жукова и Октябрьской Революции Краснознаменное училище имени генерала армии С.М. Штеменко" Министерства обороны Российской Федерации | Способ маскирования структуры сети связи |
| RU205636U1 (ru) * | 2020-08-24 | 2021-07-23 | Общество с ограниченной ответственностью "Питер Софт" | Мультисервисный маршрутизатор с управлением параметрами сетевых соединений и маскированием вычислительной сети |
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| RU2152691C1 (ru) * | 1994-12-07 | 2000-07-10 | Мацусита Электрик Корпорейшн оф Америка | Система защиты для связанных компьютерных сетей |
| US8996728B2 (en) * | 2010-10-01 | 2015-03-31 | Telcordia Technologies, Inc. | Obfuscating network traffic from previously collected network traffic |
| RU2668979C2 (ru) * | 2017-03-28 | 2018-10-05 | Федеральное государственное казенное военное образовательное учреждение высшего образования "Краснодарское высшее военное училище имени генерала армии С.М. Штеменко" Министерство обороны Российской Федерации | Способ маскирования структуры сети связи |
| RU186859U1 (ru) * | 2018-11-21 | 2019-02-06 | Общество с ограниченной ответственностью "БУЛАТ" | Мультисервисный маршрутизатор |
| RU2726900C1 (ru) * | 2019-12-09 | 2020-07-16 | федеральное государственное казенное военное образовательное учреждение высшего образования "Краснодарское высшее военное орденов Жукова и Октябрьской Революции Краснознаменное училище имени генерала армии С.М. Штеменко" Министерства обороны Российской Федерации | Способ защиты вычислительных сетей |
| RU2739151C1 (ru) * | 2020-03-24 | 2020-12-21 | федеральное государственное казенное военное образовательное учреждение высшего образования "Краснодарское высшее военное орденов Жукова и Октябрьской Революции Краснознаменное училище имени генерала армии С.М. Штеменко" Министерства обороны Российской Федерации | Способ маскирования структуры сети связи |
| RU205636U1 (ru) * | 2020-08-24 | 2021-07-23 | Общество с ограниченной ответственностью "Питер Софт" | Мультисервисный маршрутизатор с управлением параметрами сетевых соединений и маскированием вычислительной сети |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| RU218827U1 (ru) * | 2023-04-03 | 2023-06-14 | Акционерное общество "Научно-производственное предприятие "Исток" имени А. И. Шокина" | Граничный маршрутизатор |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| MontazeriShatoori et al. | Detection of doh tunnels using time-series classification of encrypted traffic | |
| JP6378395B2 (ja) | 異常部分グラフの検出のための道探査及び異常/変更検出及び網状況認知のためのdns要求及びホストエージェントの使用 | |
| Barbosa et al. | Flow whitelisting in SCADA networks | |
| Schweller et al. | Reversible sketches: enabling monitoring and analysis over high-speed data streams | |
| US20210126901A1 (en) | Identifying dns tunneling domain names by aggregating features per subdomain | |
| KR20070122045A (ko) | 실시간 상태 기반 패킷 검사 방법 및 이를 위한 장치 | |
| Chen et al. | Detecting amplification attacks with software defined networking | |
| CN114531273B (zh) | 一种防御工业网络***分布式拒绝服务攻击的方法 | |
| Abaid et al. | The early bird gets the botnet: A markov chain based early warning system for botnet attacks | |
| Boyko et al. | Advantages and disadvantages of the data collection’s method using SNMP | |
| Lai et al. | Tabular interpolation approach based on stable random projection for estimating empirical entropy of high-speed network traffic | |
| Alston et al. | Neutralizing interest flooding attacks in named data networks using cryptographic route tokens | |
| Luo et al. | Privacy-preserving regular expression matching using nondeterministic finite automata | |
| RU213782U1 (ru) | Маршрутизатор с проактивной защитой вычислительной сети от сетевой разведки | |
| Sayadi et al. | Detection of covert channels over ICMP protocol | |
| Balyk et al. | A survey of modern IP traceback methodologies | |
| Ghasabi et al. | Using optimized statistical distances to confront distributed denial of service attacks in software defined networks | |
| Murugesan et al. | Design and analysis of hybrid single packet IP traceback scheme | |
| CN111131550B (zh) | 基于密码算法的局域网内ip地址计算方法 | |
| Zhou et al. | Fingerprinting IIoT devices through machine learning techniques | |
| Wankhade et al. | A Survey on Security Challenges and Defending Methods in Cloud Based Internet of Things Network | |
| Trifonov et al. | One method of network cyber-security, based on artificial intelligence | |
| RU205636U1 (ru) | Мультисервисный маршрутизатор с управлением параметрами сетевых соединений и маскированием вычислительной сети | |
| Rhbech et al. | An optimized and intelligent security-based message queuing protocol S-MQTT applied to medical IOT COVID-19 DATA monitoring platforms | |
| CN101312465A (zh) | 一种异常报文接入点的发现方法和装置 |