[go: up one dir, main page]
More Web Proxy on the site http://driver.im/

RU2586858C1 - Method of controlling data streams based on monitoring given consumer route and detection of event of destructive effect - Google Patents

Method of controlling data streams based on monitoring given consumer route and detection of event of destructive effect Download PDF

Info

Publication number
RU2586858C1
RU2586858C1 RU2014150152/08A RU2014150152A RU2586858C1 RU 2586858 C1 RU2586858 C1 RU 2586858C1 RU 2014150152/08 A RU2014150152/08 A RU 2014150152/08A RU 2014150152 A RU2014150152 A RU 2014150152A RU 2586858 C1 RU2586858 C1 RU 2586858C1
Authority
RU
Russia
Prior art keywords
route
signal
communication line
variance
test sequence
Prior art date
Application number
RU2014150152/08A
Other languages
Russian (ru)
Inventor
Евгения Александровна Алисевич
Павел Владимирович Закалкин
Петр Юрьевич Стародубцев
Елена Валерьевна Сухорукова
Екатерина Владимировна Кругленко
Original Assignee
Федеральное государственное бюджетное образовательное учреждение высшего профессионального образования "Санкт-Петербургский государственный торгово-экономический университет"
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Федеральное государственное бюджетное образовательное учреждение высшего профессионального образования "Санкт-Петербургский государственный торгово-экономический университет" filed Critical Федеральное государственное бюджетное образовательное учреждение высшего профессионального образования "Санкт-Петербургский государственный торгово-экономический университет"
Priority to RU2014150152/08A priority Critical patent/RU2586858C1/en
Application granted granted Critical
Publication of RU2586858C1 publication Critical patent/RU2586858C1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3215Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a plurality of channels

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

FIELD: information technology.
SUBSTANCE: invention relates to a method of controlling data streams in networks based on fibre-optic transmission lines. Method involves determination of allowed routes for transmitting data streams, number of existing communication lines; number of communication nodes belonging to a distributed information system, a matrix; measuring variance of signals for each communication line, for which selected first communication line, a test sequence at preset speed transmitted test sequence; receiving a test sequence, a dispersion of a signal for communication line, storing signal value for communication line in matrix is repeated above action on determination of variance of signals for all existing communication lines; all possible routes between a given pair of users; variance of signal for each route; stored signal value for a route in a dynamic table; a route in accordance with requirements of consumer.
EFFECT: technical result is maintaining a given transmission route of data streams and detection of event of destructive actions by means of control based on monitoring objective, continuously existing and low-variable characteristics.
1 cl, 2 dwg

Description

Изобретение относится к области обеспечения информационной безопасности, а именно к способам управления потоками данных в распределенных информационных ВОСП, посредством контроля волоконно-оптических линий передачи и может быть использовано для контроля заданного потребителем маршрута и обнаружения факта деструктивного воздействия.The invention relates to the field of ensuring information security, and in particular to methods for managing data flows in distributed information FOTS, by monitoring fiber-optic transmission lines and can be used to control the route specified by the consumer and detect the fact of destructive impact.

Известен «Сетевой коммутатор», патент WO 2008077320, H04L 12/28, опубл. 03.07.2008, который осуществляет управление потоками данных в вычислительной сети путем коммутации сетевых пакетов. В сетевом коммутаторе для определения порта назначения передаваемых сетевых пакетов применяется таблица соответствия между портами коммутатора и сетевыми адресами подключенных к ним сетевых устройств.Known "Network Switch", patent WO 2008077320, H04L 12/28, publ. 07/03/2008, which manages data flows in a computer network by switching network packets. In the network switch, to determine the destination port of the transmitted network packets, a correspondence table is used between the switch ports and the network addresses of network devices connected to them.

Недостатком известного устройства является коммутация потоков данных без учета требований безопасности и ограничений на доступ. Кроме того, в большинстве коммутаторов таблица соответствия заполняется в процессе работы, что приводит к возможности переполнения этой таблицы и нарушению нормальной работы сетевого коммутатора. Также невозможно определение факта деструктивного воздействия и узла маршрута, на котором произошло событие безопасности.A disadvantage of the known device is the switching of data streams without regard to security requirements and access restrictions. In addition, in most switches, the correspondence table is filled in during operation, which leads to the possibility of overflowing this table and disrupting the normal operation of the network switch. It is also impossible to determine the fact of the destructive impact and the route node on which the safety event occurred.

Также в настоящее время существует ряд систем управления потоками данных, основанных на применении различных межсетевых экранов (TW 243555, H04L 9/00; H04L 12/22; H04L 29/06; H04L 9/00; H04L 12/22; H04L 29/06; опубл. 2005-11-11).Also, currently there are a number of data flow control systems based on the use of various firewalls (TW 243555, H04L 9/00; H04L 12/22; H04L 29/06; H04L 9/00; H04L 12/22; H04L 29/06 ; publ. 2005-11-11).

Межсетевые экраны в этих системах используются для фильтрации нежелательного сетевого трафика, причем правила фильтрации определяются для протоколов транспортного и сетевого уровней эталонной модели взаимосвязи открытых систем (согласно ГОСТ Ρ ИСО/МЭК 7498-1-99 "Взаимосвязь открытых систем. Базовая эталонная модель").Firewalls in these systems are used to filter out unwanted network traffic, and the filtering rules are defined for the protocols of the transport and network layers of the open systems interconnection reference model (according to GOST Ρ ISO / IEC 7498-1-99 "Open Systems Interconnection. Basic Reference Model").

Основное назначение межсетевых экранов - это защита элементов сети, к которой непосредственно подключен межсетевой экран (защищаемой сети), от атак из других, внешних сетей. Поэтому межсетевые экраны можно применять для управления доступом к ресурсам и сервисам защищаемой сети извне, но неудобно применять для контроля доступа из защищаемой сети в другие сети и невозможно применять для управления доступом пользователей к ресурсам и серверам в рамках одной сети. Данный недостаток усугубляется тем, что из правил фильтрации невозможно однозначно определить, какие сетевые взаимодействия могут осуществляться, а какие - нет, поскольку это зависит от последовательности событий. При этом межсетевой экран использует данные, которые могут быть легко изменены (подделаны), подменены. Если нарушитель преодолел межсетевой экран, то обнаружение факта деструктивного воздействия и места (узла) становится затруднительным.The main purpose of firewalls is to protect the network elements to which the firewall (protected network) is directly connected from attacks from other, external networks. Therefore, firewalls can be used to control access to resources and services of the protected network from the outside, but it is inconvenient to use to control access from the protected network to other networks and cannot be used to control user access to resources and servers within the same network. This drawback is aggravated by the fact that it is impossible to clearly determine from the filtering rules which network interactions can be carried out and which cannot, because it depends on the sequence of events. At the same time, the firewall uses data that can be easily changed (tampered with), replaced. If the intruder overcame the firewall, then the discovery of the fact of destructive impact and the place (node) becomes difficult.

Наиболее близким (принятым за прототип) по технической сущности к предлагаемому способу является «Способ и устройство управления потоками данных распределенной информационной системы» RU 2509425 H04L 9/32, G06F 21/60, опубликован 10.03.2014 г. Способ-прототип заключается в следующих действиях: выявляют события безопасности в принимаемом потоке данных, анализируют их с целью принятия решения о допустимости передачи потока данных, связанного с этим событием, и, при допустимости передачи потока данных, передают его по назначению. При выявлении событий безопасности в принятом потоке данных сравнивают его с разрешенными потоками в соответствии с таблицей коммутации, при их несовпадении формируют ответный поток для уточнения события безопасности и передают его для дополнительного анализа, для чего выделяют из этого потока сетевые адреса и номера портов в соответствии с динамической таблицей конфигурации, сравнивают их значения с предварительно заданными параметрами распределенной информационной системы, и при их совпадении формируют новый безопасный маршрут передачи, для чего присваивают сетевым узлам распределенной информационной системы новые адреса и номера портов, после чего корректируют таблицу коммутации и динамическую таблицу конфигурации, а при несовпадении параметров сетевых узлов формируют повторный ответный поток данных с выделенными сетевыми адресами и номерами портов.The closest (adopted as a prototype) in technical essence to the proposed method is “Method and device for controlling data flows of a distributed information system” RU 2509425 H04L 9/32, G06F 21/60, published on 03/10/2014. The prototype method consists in the following actions : identify security events in the received data stream, analyze them in order to decide on the admissibility of the transmission of the data stream associated with this event, and, if the transmission of the data stream is permissible, transmit it as intended. When security events are detected in the received data stream, it is compared with allowed streams in accordance with the switching table, if they do not match, a response stream is generated to clarify the security event and transmitted for additional analysis, for which network addresses and port numbers are allocated from this stream in accordance with dynamic configuration table, compare their values with predefined parameters of the distributed information system, and if they coincide, form a new safe route soap has, which is assigned to the network nodes of the distributed information system of the new addresses and port numbers and then adjusted switching table and a dynamic table configuration, and forming a second response data stream at the network nodes do not coincide with the parameters dedicated network addresses and port numbers.

Недостатком способа-прототипа является невозможность определения источника деструктивных программных воздействий, все параметры, по которым происходит управление потоками, не являются долговременными и статичными и могут быть подменены, относительно низкая защищенность распределенной информационной системы, обусловленная тем, что управление потоками данных при возникновении событий безопасности осуществляется только путем их блокирования, что может привести к новым реализациям несанкционированного доступа нарушителем уже с учетом полученной информации о системе защиты распределенной информационной системы. Также возможна подмена характеристик, на основе которых осуществляется управление потоками данных.The disadvantage of the prototype method is the inability to determine the source of destructive software impacts, all the parameters by which the flow is controlled are not long-term and static and can be replaced, the relatively low security of the distributed information system, due to the fact that the control of data flows when safety events occur only by blocking them, which can lead to new implementations of unauthorized access by the violator already with th received information about security of distributed information system. It is also possible to replace the characteristics on the basis of which data flow is controlled.

Целью заявленных технических решений является разработка способа контроля заданного маршрута передачи потоков данных и обнаружения факта деструктивных воздействий, посредством управления, на основе контроля объективных, долговременно существующих и трудноизменяемых характеристик.The purpose of the claimed technical solutions is to develop a method for monitoring a given route for transmitting data streams and detecting the fact of destructive effects, by controlling, based on monitoring objective, long-term and difficult to change characteristics.

Техническим результатом заявленного способа является:The technical result of the claimed method is:

сохранение заданного маршрута передачи потоков данных и обнаружение факта деструктивных воздействий, посредством управления, на основе контроля объективных, долговременно существующих и трудноизменяемых характеристик.preservation of a given route of transmission of data streams and detection of the fact of destructive effects, through management, based on the control of objective, long-term and difficult to change characteristics.

Технический результат достигается тем, что:The technical result is achieved by the fact that:

определяют разрешенные маршруты передачи потоков данных, задают количество существующих линий связи х; количество узлов связи принадлежащих распределенной информационной системе N, матрицу М [K; 2]; измеряют дисперсию сигналов для каждой линии связи, для чего выбирают первую линию связи, генерируют тестовую последовательность, с заданной скоростью передают тестовую последовательность; принимают тестовую последовательность, оценивают дисперсию

Figure 00000001
сигнала для линии связи, запоминают значение
Figure 00000002
сигнала для линии связи в матрицу М, повторяют вышеперечисленные действия по определению дисперсии сигналов для всех существующих линий связи; формируют все возможные маршруты между заданной парой абонентов; рассчитывают дисперсию τм сигнала для каждого маршрута; запоминают значение τм сигнала для маршрута в динамическую таблицу L; формируют маршрут в соответствии с требованиями, предъявляемыми потребителем; если маршрут разрешен, передают поток данных; если маршрут запрещен, блокируют поток данных, при необходимости вносят изменения в динамическую таблицу коммутации. Измеряют дисперсию сигнала τмр на заданном маршруте; если τммр≤Δε принимают поток данных, иначе осуществляют выявление событий безопасности в передаваемом потоке данных, для чего увеличивают значение счетчика l на единицу; находят маршрут с дисперсией сигнала, равной дисперсии τмр сигнала на маршруте, для чего сравнивают значения дисперсий τмр и τм сигналов; предупреждают потребителя о факте смены заказанного маршрута; восстанавливают вышедший из строя элемент; делают вывод о наличии события безопасности, при необходимости вносят изменения в динамическую таблицу коммутации.determine the allowed transmission routes of data streams, set the number of existing communication lines x; the number of communication nodes belonging to the distributed information system N, the matrix M [K; 2]; measuring the dispersion of signals for each communication line, for which a first communication line is selected, a test sequence is generated, a test sequence is transmitted at a given speed; take the test sequence, evaluate the variance
Figure 00000001
signal for the communication line, remember the value
Figure 00000002
signal for the communication line in the matrix M, repeat the above steps to determine the dispersion of the signals for all existing communication lines; form all possible routes between a given pair of subscribers; calculate the variance of τ m signal for each route; remember the value of τ m signal for the route in the dynamic table L; form a route in accordance with the requirements of the consumer; if the route is allowed, transmit the data stream; if the route is prohibited, block the data flow, if necessary, make changes to the dynamic switching table. Measure the variance of the signal τ Mr on a given route; if m -τ τ mr ≤Δε receiving a data stream, otherwise carry identification security events in the transmitted data stream, which increases the value of counter l unit; find a route with a dispersion of the signal equal to the variance of τ mp signal on the route, for which they compare the variances of τ mp and τ m signals; warn the consumer about the fact of changing the ordered route; restore a failed element; conclude that there is a security event; if necessary, make changes to the dynamic switching table.

Благодаря новой совокупности существенных признаков в заявленном способе достигается указанный технический результат за счет учета дисперсии сигнала как на отдельных оптоволоконных линиях связи, так и составных маршрутов прохождения потока данных.Thanks to the new set of essential features in the claimed method, the indicated technical result is achieved by taking into account the dispersion of the signal both on individual fiber-optic communication lines and on the composite routes of the data flow.

Заявленный способ поясняется чертежами:The claimed method is illustrated by drawings:

фиг. 1. - блок-схема алгоритма управления потоками данных распределенной информационной системыFIG. 1. - block diagram of a distributed data system data flow control algorithm

фиг. 2. - вариант графа распределенной информационной системыFIG. 2. - version of the graph of a distributed information system

Реализацию заявленного способа можно пояснить при помощи блок-схемы, представленной на фиг. 1, и схемы распределенной информационной системы, представленной на фиг. 2.The implementation of the claimed method can be explained using the flowchart shown in FIG. 1 and the layout of the distributed information system shown in FIG. 2.

На представленном варианте графа распределенной информационной системы (фиг. 2): узлы А (источник) и Б (получатель) являются защищенными элементами сети и вероятность возникновения на них события безопасности (факта деструктивного воздействия) мала. Узлы V1-V6 являются элементами сети связи общего пользования (ССОП) и подвержены деструктивным воздействиям.In the presented version of the graph of a distributed information system (Fig. 2): nodes A (source) and B (receiver) are protected network elements and the probability of a security event (the fact of destructive impact) on them is small. Nodes V 1 -V 6 are elements of a public communications network (MTSP) and are subject to destructive influences.

Волоконно-оптическая система передачи (ВОСП) - система передачи, в которой все виды сигналов передают по оптическому кабелю (ГОСТ 26599-85 Системы передачи волоконно-оптические. Термины и определения).Fiber-optic transmission system (FOTS) - a transmission system in which all types of signals are transmitted via optical cable (GOST 26599-85 Fiber-optic transmission systems. Terms and definitions).

Волоконно-оптическая линия передачи (ВОЛП) - совокупность линейных трактов волоконно-оптических систем передачи, имеющих общий оптический кабель, линейные сооружения и устройства их обслуживания в пределах действия устройств обслуживания (ГОСТ 26599-85 Системы передачи волоконно-оптические. Термины и определения).Fiber-optic transmission line (FOCL) - a set of linear paths of fiber-optic transmission systems having a common optical cable, linear structures and devices for their maintenance within the service devices (GOST 26599-85 Fiber-optic transmission systems. Terms and definitions).

Событием информационной безопасности является идентифицированное появление определенного состояния системы, сервиса или сети, указывающего на возможное нарушение политики ИБ или отказ защитных мер, или возникновение неизвестной ранее ситуации, которая может иметь отношение к безопасности.An information security event is the identified occurrence of a certain state of a system, service or network, indicating a possible violation of the IS policy or the failure of protective measures, or the occurrence of a previously unknown situation that may be related to security.

Инцидент информационной безопасности Инцидент информационной безопасности - событие, являющееся следствием одного или нескольких нежелательных или неожиданных событий ИБ, имеющих значительную вероятность компрометации бизнес-операции и создания угрозы ИБ (примеры инцидентов ИБ даются в разделе 6. Отказ в обслуживании, несанкционированный доступ, сбор информации). [ГОСТ Ρ ИСО/МЭК 18044 -2007]Information security incident Information security incident is an event resulting from one or more undesirable or unexpected IS events that have a significant chance of compromising a business transaction and creating an IS threat (examples of IS incidents are given in section 6. Denial of service, unauthorized access, information gathering) . [GOST Ρ ISO / IEC 18044-2007]

Событием информационной безопасности является состояние системы, сервиса или сети, которое свидетельствует о возможном нарушении существующей политики безопасности, либо о прежде неизвестной ситуации, которая может иметь отношение к безопасности, (стандарт ISO/IEC TR 18044:2004)An information security event is the state of a system, service or network, which indicates a possible violation of an existing security policy, or a previously unknown situation that may be related to security (standard ISO / IEC TR 18044: 2004)

Так же к событиям безопасности относится случайное или преднамеренное изменение заказанного потребителем маршрута передачи потока данных.Safety events also include the accidental or intentional change of a data flow transmission route ordered by a consumer.

Предложенный способ позволяет определить как факт смены заказанного пользователем маршрута, так и факт возникновения деструктивного воздействия.The proposed method allows to determine both the fact of a change in the route ordered by the user, and the fact of the occurrence of a destructive effect.

В блоке 1 (фиг. 1) производят ввод данных. Исходными данными являются:In block 1 (Fig. 1) enter data. The source data are:

- x - количество линий связи принадлежащих распределенной информационной системе;- x - the number of communication lines belonging to a distributed information system;

- N - количество узлов связи принадлежащих распределенной информационной системе;- N - the number of communication nodes belonging to a distributed information system;

- матрица M размерностью [х; 2]. В данной матрице номеру линии связи будет поставлена в соответствие дисперсия

Figure 00000001
сигналов при заданной скорости.- a matrix M of dimension [x; 2]. In this matrix, the dispersion number will be assigned to the communication line number
Figure 00000001
signals at a given speed.

- динамическая таблица коммутации. В таблице задаются разрешенные маршруты передачи потоков данных.- dynamic switching table. The table sets the allowed routes for transmitting data streams.

- таблица L [K; 2]. В таблице задаются все возможные маршруты передачи потоков данных и после измерения заносится в соответствии каждому маршруту дисперсия τм сигналов при заданной скорости. При этом маршруты ранжированы от минимального значения дисперсии сигнала по возрастанию до максимального.- table L [K; 2]. The table sets all possible routes for transmitting data streams and, after measurement, the dispersion of τ m signals at a given speed is entered in accordance with each route. In this case, the routes are ranked from the minimum value of the dispersion of the signal in increasing order to the maximum.

- Δε допустимая погрешность измерений. Погрешность оборудования для измерения дисперсии сигналов меньше, чем допустимая погрешность.- Δε permissible measurement error. The error of the equipment for measuring signal dispersion is less than the permissible error.

В блоке 2 выбирают первую линию связи входящую в состав ВОСП. Счетчику i присваивается значение 1.In block 2, the first communication line that is part of the FOTS is selected. Counter i is set to 1.

В блоке 3 в любой заранее определенной комбинации (например 0101…0101) генерируют тестовую последовательность, состоящую из n бит.In block 3, in any predetermined combination (for example 0101 ... 0101), a test sequence consisting of n bits is generated.

Характеристики тестовой последовательности известны на приемной и передающей стороне. Среда волокна оптической линии передачи изотропна, т.е. свойства среды в прямом и обратном направлении идентичны.Characteristics of the test sequence are known on the receiving and transmitting side. The fiber medium of the optical transmission line is isotropic, i.e. the properties of the medium in the forward and reverse direction are identical.

В блоке 4 на передающей стороне с заданной скоростью подают на вход оптоволоконной линии связи сгенерированную тестовую последовательность, состоящую из n импульсов.In block 4, on the transmitting side, a generated test sequence consisting of n pulses is fed to the input of the fiber optic communication line at a predetermined speed.

В блоке 5 на приемной стороне (выходе оптоволоконной линии связи) осуществляют прием переданной тестовой последовательности.In block 5, on the receiving side (output of the optical fiber communication line), the transmitted test sequence is received.

В блоке 6 оценивают дисперсию

Figure 00000003
сигнала при заданной скорости для каждой линии связи. Для чего измеряют характеристики (параметры) каждого импульса, из полученной на приемной стороне, тестовой последовательности.In block 6 evaluate the variance
Figure 00000003
signal at a given speed for each communication line. Why measure the characteristics (parameters) of each pulse from the test sequence received at the receiving side.

Оптическое волокно, выпущенное разными производителями или одним производителем, в разное время имеет различия в физических свойствах, а линии имеют различную протяженность, что в совокупности предопределяет значение дисперсии сигнала. Импульсы света при распространении по оптоволокну «расплываются». Дисперсия - уширение импульсов - имеет размерность времени и определяется как квадратичная разность длительностей импульсов на выходе и входе световода длины L, получаемой на половине высоты (амплитуды) импульса (Физические основы оптической связи. Электронное учебное пособие. Ю.М. Нойкин, П.В. Махно; Южный федеральный Университет. Физический факультет; Ростов-на-Дону, 2011 г. ):An optical fiber produced by different manufacturers or by one manufacturer at different times has differences in physical properties, and the lines have different lengths, which together determines the value of signal dispersion. Pulses of light propagate through the optical fiber “spread out”. Dispersion — pulse broadening — has the dimension of time and is defined as the quadratic difference of the pulse durations at the output and input of the fiber of length L, obtained at half the pulse height (amplitude) (Physical fundamentals of optical communication. Electronic textbook. Yu. M. Noikin, P.V. Makhno; Southern Federal University. Faculty of Physics; Rostov-on-Don, 2011):

Figure 00000004
Figure 00000004

Для повышения точности измерений используют значение среднеарифметического уширения множества импульсов. (Справочник по элементарной математике М.Я. Выгодский. «Параграф 45 Средние величины» Элиста 1996 г. 416 стр. ) по формуле:To increase the accuracy of measurements, the arithmetic mean broadening of the set of pulses is used. (Handbook of Elementary Mathematics M.Ya. Vygodsky. “Section 45 Average Values” by Elista 1996, 416 pp.) By the formula:

Figure 00000005
Figure 00000005

Полученное значение дисперсии сигнала заносят в динамическую матрицу М и сохраняют (блок 7).The obtained signal dispersion value is entered into the dynamic matrix M and stored (block 7).

В блоке 8 проверяют значение счетчика iIn block 8, check the value of counter i

В случае выполнения условия i=N (т.е. всем линиям присвоено значение дисперсии сигналов при заданной скорости) переходим к блоку 10.If the condition i = N is fulfilled (i.e., all lines are assigned a signal dispersion value at a given speed), we proceed to block 10.

В противном случае увеличивают значение счетчика i на единицу.Otherwise, increase the value of counter i by one.

В блоке 9 увеличивают значение счетчика i на единицу.In block 9, increase the value of counter i by one.

В блоке 10 осуществляют построение всех возможных маршрутов (K) между заданной парой абонентов.In block 10, all possible routes (K) are constructed between a given pair of subscribers.

В блоке 11 рассчитывают дисперсию сигнала τм для каждого составного (из нескольких линий связи) маршрута. При известном маршруте прохождения информационного потока и дисперсии сигналов на каждой линии входящей в маршрут, можно рассчитать суммарную дисперсию сигнала сформированного маршрута.In block 11, the dispersion of the signal τ m is calculated for each composite (from several communication lines) route. With the known route of the information flow and the variance of the signals on each line included in the route, you can calculate the total variance of the signal generated route.

Определяют дисперсию сигнала на маршруте прохождения информационного потока по участку ВОСП, состоящего их нескольких оптоволоконных линий связи по формуле (Основы проектирования цифровых оптоэлектронных систем связи А.А. Вербовецкий; Москва, 2000 г., 160 стр.):Determine the dispersion of the signal along the route of the information flow along the FOTS section, which consists of several fiber-optic communication lines according to the formula (Fundamentals of the design of digital optoelectronic communication systems A. A. Verbovetsky; Moscow, 2000, 160 pages):

Figure 00000006
Figure 00000006

где τм - расчетная дисперсия сигналов составного маршрута, по которому должен пройти поток данных;where τ m is the calculated variance of the signals of the composite route along which the data stream should go;

τi - измеренное значение дисперсии сигналов линии, входящей в составной участок ВОСП;τ i is the measured value of the dispersion of the signals of the line included in the composite section of the FOTS;

i - количество линий входящих в составной участок ВОСП, по которым проходит поток данных.i is the number of lines included in the composite FOTS section along which the data stream passes.

После чего полученные значения ранжируют от минимального τм значения до максимального и заносят в динамическую таблицу K, соответственно линиям связи.After that, the obtained values are ranked from the minimum τ m values to the maximum and are entered in the dynamic table K, respectively, the communication lines.

В блоке 12 формируют маршрут передачи информационного потока в соответствии с требованиями, предъявляемыми потребителем, отдавая предпочтения маршрутам с минимальной дисперсией сигнала.In block 12, the information flow transmission route is formed in accordance with the requirements of the consumer, giving preference to routes with minimal signal dispersion.

В блоке 13 согласно динамической таблицы коммутации осуществляют проверку соответствия разрешенным маршрутам передачи данных - реально сформированному маршруту.In block 13, according to the dynamic switching table, they verify compliance with the allowed data transmission routes — a real-formed route.

В случае выполнения условия осуществляют передачу потока данных.If the conditions are met, a data stream is transmitted.

В противном случае осуществляют переформирование маршрута (управление маршрутом передачи трафика).Otherwise, reorganization of the route is carried out (traffic route control).

В блоке 14 осуществляют передачу потока данных.At block 14, a data stream is transmitted.

В блоке 15 измеряют τмр - реальную дисперсию сигналов на маршруте прохождения потока данных.In block 15 measure τ Mr - the real dispersion of the signals along the route of the data stream.

В блоке 16 проверяют выполнение условия:In block 16 verify the fulfillment of the conditions:

τммр≤Δετ m −τ mr ≤Δε

В случае выполнения условия осуществляют прием потока данных сигнала (блок 17).If the condition is met, a signal data stream is received (block 17).

В противном случае увеличивают счетчик l на единицу.Otherwise, increment the counter l by one.

В блоке 18 счетчик l увеличиваем на единицу.In block 18, the counter l is incremented by one.

l - номер построенного маршрута связи.l is the number of the constructed communication route.

В блоке 19 проверяют выполнение условия l=K+1.In block 19, the fulfillment of the condition l = K + 1 is checked.

В случае выполнения условия переходят к блоку 25.If the conditions are met, go to block 25.

В противном случае переходим к блоку 20.Otherwise, go to block 20.

В блоке 20 проверяют выполнение условия:In block 20, verify the fulfillment of the condition:

τммр≤Δετ m −τ mr ≤Δε

В случае выполнения условия предупреждают потребителя о факте события безопасности (передача данных по неразрешенному маршруту).If the conditions are met, they warn the consumer about the fact of a security event (data transfer along an unauthorized route).

В противном случае увеличивают счетчик l на единицу.Otherwise, increment the counter l by one.

В блоке 22 проверяют сигнализацию от элементов сети на заказанном маршруте передачи данных. Если сработала сигнализация неисправности элемента на сети, то считается ,что произошел технологический отказ и восстанавливают вышедший из строя элемент сети на разрешенном маршруте передачи данных. В противном случае блокируют передачу потока данных (блок 23).In block 22, the signaling from the network elements on the ordered data transmission route is checked. If an element failure alarm on the network is triggered, then it is considered that a technological failure has occurred and the failed network element is restored on the allowed data transfer route. Otherwise, the transmission of the data stream is blocked (block 23).

Система сигнализации описана в Самуйлов К. Е. Система сигнализации No. 7 - ключевой элемент современных цифровых сетей связи. URL: http://www.osp.ru/nets/1996/07/141824/ дата обращения 14.10.14.The alarm system is described in Samuilov K.E. 7 is a key element of modern digital communications networks. URL: http://www.osp.ru/nets/1996/07/141824/ date of access 14.10.14.

В блоке 24 Восстанавливают вышедший из строя элемент сети на разрешенном маршруте передачи данных.In block 24 Restore the failed network element on the permitted data path.

В блоке 25 Делают вывод о том что на маршруте (узле или линии) произошло событие безопасности.In block 25 they conclude that a security event occurred on the route (node or line).

В блоке 26 при необходимости вносят изменения в динамическую таблицу коммутации, запрещающую построение маршрутов с использованием данных узлов (линии) связи.In block 26, if necessary, changes are made to the dynamic switching table, which prohibits the construction of routes using these nodes (lines) of communication.

Таким образом, за счет сопоставления данных о ранее известных дисперсиях сигнала как на отдельных оптоволоконных линиях связи составного маршрута, так и за счет изменения суммарной дисперсии сигнала составного маршрута прохождения потока данных, технический результат достигнут.Thus, by comparing data on previously known signal dispersions both on individual fiber optic communication lines of the composite route and by changing the total dispersion of the signal of the composite route of the data flow, the technical result is achieved.

Claims (1)

Способ управления потоками данных на основе контроля заданного потребителем маршрута и обнаружения факта деструктивного воздействия, заключающийся в том, что осуществляют управление коммутацией сетевых соединений с использованием динамической таблицы коммутации, определяющей разрешенные маршруты передачи потоков данных в зависимости от того, разрешено ли динамической таблицей коммутации сетевое взаимодействие, которое реализуется этим потоком данных, поток либо передают по назначению, либо блокируют, осуществляют выявление событий безопасности в передаваемом потоке данных, при необходимости вносят изменения в динамическую таблицу коммутации, отличающийся тем, что дополнительно задают количество существующих линий связи х; количество узлов связи,, принадлежащих распределенной информационной системе N, матрицу M [K;2]; измеряют дисперсию сигналов для каждой линии связи, для чего выбирают первую линию связи, генерируют тестовую последовательность, с заданной скоростью передают тестовую последовательность; принимают тестовую последовательность, оценивают дисперсию
Figure 00000007
сигнала для линии связи, запоминают значение
Figure 00000007
сигнала для линии связи в матрицу М, повторяют вышеперечисленные действия по определению дисперсии сигналов для всех существующих линий связи; формируют все возможные маршруты между заданной парой абонентов; рассчитывают дисперсию τм сигнала для каждого маршрута; запоминают значение τм сигнала для маршрута в динамическую таблицу L; формируют маршрут в соответствии с требованиями, предъявляемыми потребителем; если маршрут разрешен, передают поток данных; измеряют дисперсию сигнала τмр на заданном маршруте; если τммр≤Δε, то принимают поток данных, иначе увеличивают значение счетчика l на единицу; находят маршрут с дисперсией сигнала, равной дисперсии τмр сигнала на маршруте, для чего сравнивают значения дисперсий τмр и τм сигналов; предупреждают потребителя о факте смены заказанного маршрута; восстанавливают вышедший из строя элемент; делают вывод о наличии события безопасности. A method of controlling data flows based on monitoring a route specified by a consumer and detecting a destructive effect, which consists in controlling the switching of network connections using a dynamic switching table that determines the allowed routes for transmitting data flows depending on whether the dynamic switching table allows network interaction , which is implemented by this data stream, the stream is either transmitted as intended or blocked, event detection security in the transmitted data stream, if necessary, make changes to the dynamic switching table, characterized in that it additionally sets the number of existing communication lines x; the number of communication nodes belonging to the distributed information system N, the matrix M [K; 2]; measuring the dispersion of signals for each communication line, for which a first communication line is selected, a test sequence is generated, a test sequence is transmitted at a given speed; take the test sequence, evaluate the variance
Figure 00000007
signal for the communication line, remember the value
Figure 00000007
signal for the communication line in the matrix M, repeat the above steps to determine the dispersion of the signals for all existing communication lines; form all possible routes between a given pair of subscribers; calculate the variance of τ m signal for each route; remember the value of τ m signal for the route in the dynamic table L; form a route in accordance with the requirements of the consumer; if the route is allowed, transmit the data stream; measure the variance of the signal τ Mr on a given route; if m -τ τ mr ≤Δε, then receiving a data stream, or increasing the value of l counter by one; find a route with a dispersion of the signal equal to the variance of τ mp signal on the route, for which they compare the variances of τ mp and τ m signals; warn the consumer about the fact of changing the ordered route; restore a failed element; conclude that there is a security event.
RU2014150152/08A 2014-12-10 2014-12-10 Method of controlling data streams based on monitoring given consumer route and detection of event of destructive effect RU2586858C1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
RU2014150152/08A RU2586858C1 (en) 2014-12-10 2014-12-10 Method of controlling data streams based on monitoring given consumer route and detection of event of destructive effect

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
RU2014150152/08A RU2586858C1 (en) 2014-12-10 2014-12-10 Method of controlling data streams based on monitoring given consumer route and detection of event of destructive effect

Publications (1)

Publication Number Publication Date
RU2586858C1 true RU2586858C1 (en) 2016-06-10

Family

ID=56115674

Family Applications (1)

Application Number Title Priority Date Filing Date
RU2014150152/08A RU2586858C1 (en) 2014-12-10 2014-12-10 Method of controlling data streams based on monitoring given consumer route and detection of event of destructive effect

Country Status (1)

Country Link
RU (1) RU2586858C1 (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2751987C1 (en) * 2020-10-18 2021-07-21 Юрий Иванович Стародубцев Method for physical diversity of data reception and transmission paths in conditions of destructive program impact

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1701495A1 (en) * 2005-03-09 2006-09-13 Siemens Aktiengesellschaft Hybrid digital cross-connect for switching circuit and packet based data traffic
RU2358398C2 (en) * 2004-08-05 2009-06-10 Алькатель Method of moving traffic, with predetermination of service category of data transfer, in network without establishing connection
RU2501070C2 (en) * 2008-02-11 2013-12-10 Майкрософт Корпорейшн Multimedia data mixture switching protocol for managing multimedia data
RU2509425C1 (en) * 2012-11-12 2014-03-10 Федеральное государственное казенное военное образовательное учреждение высшего профессионального образования "ВОЕННАЯ АКАДЕМИЯ СВЯЗИ имени Маршала Советского Союза С.М. Буденного" Министерства обороны Российской Федерации Method and apparatus for controlling distributed information system data streams

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2358398C2 (en) * 2004-08-05 2009-06-10 Алькатель Method of moving traffic, with predetermination of service category of data transfer, in network without establishing connection
EP1701495A1 (en) * 2005-03-09 2006-09-13 Siemens Aktiengesellschaft Hybrid digital cross-connect for switching circuit and packet based data traffic
RU2501070C2 (en) * 2008-02-11 2013-12-10 Майкрософт Корпорейшн Multimedia data mixture switching protocol for managing multimedia data
RU2509425C1 (en) * 2012-11-12 2014-03-10 Федеральное государственное казенное военное образовательное учреждение высшего профессионального образования "ВОЕННАЯ АКАДЕМИЯ СВЯЗИ имени Маршала Советского Союза С.М. Буденного" Министерства обороны Российской Федерации Method and apparatus for controlling distributed information system data streams

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2751987C1 (en) * 2020-10-18 2021-07-21 Юрий Иванович Стародубцев Method for physical diversity of data reception and transmission paths in conditions of destructive program impact

Similar Documents

Publication Publication Date Title
US10015176B2 (en) Network protection
US9455999B2 (en) Method and system for protective distribution system (PDS) and infrastructure protection and management
KR101761737B1 (en) System and Method for Detecting Abnormal Behavior of Control System
US7779465B2 (en) Distributed peer attack alerting
EP3353988B1 (en) Methods, systems, and computer readable media for detecting physical link intrusions
Gómez et al. Design of a snort-based hybrid intrusion detection system
TWI699666B (en) System and method for information security threat disruption via a border gateway
KR101113615B1 (en) Total analysis system of network risk and method thereof
KR20210109292A (en) Big Data Server System for Managing Industrial Field Facilities through Multifunctional Measuring Instruments
CN106209856A (en) Big data security postures based on trust computing ground drawing generating method
CN109951345A (en) A kind of alert processing method and device
RU2586858C1 (en) Method of controlling data streams based on monitoring given consumer route and detection of event of destructive effect
US20130247203A1 (en) Identifying Relationships Between Security Metrics
CN102833107B (en) Safety access method and system
Grenar et al. Network Physical Layer Attack in the Very High Capacity Networks
Shetty et al. Auditing and analysis of network traffic in cloud environment
RU2568784C1 (en) Method of controlling data streams in distributed information systems
Gangavarapu et al. Target privacy threat modeling for COVID-19 exposure notification systems
Maynard et al. Using Application Layer Metrics to Detect Advanced SCADA Attacks.
CN114301796A (en) Verification method, device and system for predicting situation awareness
Hajj et al. Implementing and testing a fiber-optic polarization-based intrusion detection system
EP1983714A1 (en) Method for detection of malign instrusions in a communication system and related detector
CN114205074A (en) Dead time attack resisting detection device for QKD equipment
WO2019070216A2 (en) Firewall effectiveness measurement with multi-port intrusion detection system
AKDEMİR et al. A GIS-based novel active monitoring system for fiber networks

Legal Events

Date Code Title Description
MM4A The patent is invalid due to non-payment of fees

Effective date: 20161211