[go: up one dir, main page]

WO2024248658A1 - System and method for analysing an incoming stream of traffic - Google Patents

System and method for analysing an incoming stream of traffic Download PDF

Info

Publication number
WO2024248658A1
WO2024248658A1 PCT/RU2024/000075 RU2024000075W WO2024248658A1 WO 2024248658 A1 WO2024248658 A1 WO 2024248658A1 RU 2024000075 W RU2024000075 W RU 2024000075W WO 2024248658 A1 WO2024248658 A1 WO 2024248658A1
Authority
WO
WIPO (PCT)
Prior art keywords
traffic
network
packets
dpi
unit
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
PCT/RU2024/000075
Other languages
French (fr)
Russian (ru)
Inventor
Владимир Сергеевич ЧЕРЕШНЕВ
Виктор Евгеньевич САМОХВАЛОВ
Алексей Юрьевич ПУЦ
Павел Викторович ПЕНИКОВ
Владимир Владимирович САДОВНИКОВ
Егор Русланович ВАСЬКОВ
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Obschestvo S Ogranichennoi Otvetstvennostyu "infovotch Arma"
Original Assignee
Obschestvo S Ogranichennoi Otvetstvennostyu "infovotch Arma"
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Priority claimed from RU2023114575A external-priority patent/RU2812087C1/en
Application filed by Obschestvo S Ogranichennoi Otvetstvennostyu "infovotch Arma" filed Critical Obschestvo S Ogranichennoi Otvetstvennostyu "infovotch Arma"
Priority to CN202480004152.0A priority Critical patent/CN120051980A/en
Publication of WO2024248658A1 publication Critical patent/WO2024248658A1/en
Anticipated expiration legal-status Critical
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/02Capturing of monitoring data
    • H04L43/028Capturing of monitoring data by filtering
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/20Traffic policing

Definitions

  • the invention relates to computing technology and the field of ensuring information security through preliminary analysis of the incoming traffic flow regarding the traffic's belonging to a previously established connection.
  • the prior art includes means of protecting the perimeter of a local (corporate) computer network, known as a firewall, network screen, firewall, firewall - a complex of hardware or software that monitors and filters network packets passing through it in accordance with specified rules.
  • An analogue of the proposed solution is the "System for protecting computer networks from unauthorized access", disclosed in patent RU2607997, IPC G06F 15/163, published on 11.01.2017, wherein the system for protecting computer networks from unauthorized access is a firewall filter, connected between two computer networks in such a way that all information exchange between said networks is limited using filtering rules, wherein the firewall filter contains at least two network interfaces for exchanging data between clients of the first computer network and the second computer network of the two above-mentioned computer networks, wherein it additionally contains a traffic processing unit including a control device that provides for the input of traffic filtering rules and the storage of information about the filtering rules, a traffic analysis device that provides for the verification of the compliance of incoming information with the filtering rules, as well as a switching device through which the said network interfaces are connected to each other and that provides for the passage of information permitted by the filtering rules between the network interfaces and the blocking of information not permitted by the filtering rules, wherein the filtering rules prohibit the transit transmission of any packets between the said network
  • the firewall for local area networks contains at least two network interfaces for packet switching of data between segments of the computer network, performed in accordance with the program packet filtering.
  • the firewall After processing a packet in accordance with the filtering rules, the firewall retains unchanged the information about the physical and logical addresses of the sender of each packet, contained in their headers.
  • the control program does not assign logical addresses to network interfaces and does not transmit information about their physical addresses to the network segments associated with them.
  • the firewall contains a special control interface, and any changes to the filtering parameters can be made exclusively through the control interface.
  • analogues do not provide for the use of a method for monitoring established connections and analyzing the incoming traffic flow to determine whether it belongs to a previously established connection.
  • the technical result of the invention consists in expanding the arsenal of technical means and systems for ensuring information security of a computer network by using an effective system for analyzing the traffic flow regarding the belonging of the traffic to a previously established connection.
  • the specified technical result is achieved by a system of traffic flow analysis on the traffic belonging to a previously established connection, packet parsing to obtain data from packets at the channel, network, transport and application levels, and splitting received data from packets to clusters, making a decision on each packet in clusters based on established rules for processing network packets, identifying deviations in network traffic corresponding to the processing rules from the normal packet traffic profile, and refining the established rules for processing network packets.
  • the traffic flow analysis system comprises a network traffic reception and preliminary analysis unit, a new device detection unit, a deep packet inspection (DPI) device, a signature unit, and a memory unit, wherein the reception and preliminary analysis unit is connected to the deep packet inspection (DPI) device and is configured to perform preliminary analysis of the incoming traffic flow. If the deep packet inspection (DPI) device determines that the traffic belongs to an already established connection, i.e. such packets with synchronization flags (Synchronize sequence numbers, SYN) and acknowledgement field is significant (ACK) have already passed through the control unit, then the packet can be passed without filtering.
  • DPI deep packet inspection
  • the system includes a graphical user interface to which the results of the work are sent for review by the system administrator.
  • the packet is sent to the DPI device for packet parsing.
  • the DPI device parses packets with the Internet protocol (IP) specification to obtain data at the channel, network, transport, and application layers.
  • IP Internet protocol
  • the DPI device is capable of extracting known application protocols in use, tunneled IP addresses, usernames, file names, HTTP links and request URLs, server return codes.
  • the network traffic receiving and preliminary analysis unit is designed with the ability to buffer data for temporary storage.
  • Examples of data extracted by the DPI device include: obtaining physical addresses of hosts (MAC address), network protocol type (IPv4 and IPv6), IP addresses of source and destination hosts, transport protocol type (IP, ICMP, RIP, DDP, ARP, etc.), source and destination port numbers, as well as LLC, service flag values, and TCP "window" values.
  • MAC address physical addresses of hosts
  • IPv4 and IPv6 IP addresses of source and destination hosts
  • transport protocol type IP, ICMP, RIP, DDP, ARP, etc.
  • source and destination port numbers as well as LLC, service flag values, and TCP "window” values.
  • application layer data examples include remote access and resource sharing protocols, HTTP, SMTP, FTP, HTTPS, TELNET, SSH, DNS and other well-known protocols.
  • the DPI device has a built-in signature database with characteristics for matching analyzed traffic packets, which allows you to accurately identify the application or protocol being analyzed.
  • the feature signature database is designed to be updatable and refined.
  • a delay of more than 150 milliseconds is unacceptable for two-way voice conversations and may cause a connection break.
  • An acceptable time interval for no traffic can also be set, by default it is usually 25 seconds. If the time is exceeded, this traffic will be related to a new connection.
  • each traffic type and/or protocol can be configured to have its own acceptable time interval for no traffic, at the user's discretion. In this way, application-level data and associated metadata for each network packet can be obtained.
  • Fig. 1/3 shows a block diagram of a traffic processing system using a firewall system in accordance with the present invention.
  • Fig. 2/3 shows a block diagram of a method for processing traffic using a firewall system in accordance with the present invention and information flows between system blocks.
  • Fig. 3/3 shows the architecture of a firewall system according to the present invention.
  • the invention is a complex of hardware and software tools that ensure the implementation of a traffic flow analysis system, which, in accordance with Fig. 1/3, contains the following blocks:
  • DPI deep packet inspection device
  • the network traffic reception and preliminary analysis unit 11 is connected to the DPI device 12 and is designed with the possibility of preliminary analysis of the incoming traffic flow. If it is established that the traffic belongs to an already established connection, i.e. such packets with the SYN and ACK flags have already passed through the network traffic reception and preliminary analysis unit 11, then the packet can be passed without filtering.
  • the 12 DPI device parses packets with the IP protocol specification to obtain data at the channel, network, transport and application levels.
  • the 12 DPI device is designed with the ability to extract from the traffic the application protocols used, tunneled IP addresses, user names, file names, HTTP links and request URLs, and server return codes.
  • Examples of data extracted from the traffic flow include: obtaining physical addresses of hosts (MAC address), network protocol type (IPv4 and IPv6), IP addresses of source and destination hosts, transport protocol type (IP, ICMP, RIP, DDP, ARP, etc.), source and destination port numbers, as well as LLC, service flag values, TCP "window” values.
  • Examples of application-level data include remote access and resource sharing protocols such as HTTP, SMTP, FTP, HTTPS, TELNET, SSH, DNS, etc.
  • the 12 DPI device has its own unique characteristics, which are recorded in the built-in signature database. Matching a sample from databases with analyzed traffic allow to accurately identify the application or protocol. But since new applications and protocols appear periodically, the signature database also needs to be updated to ensure high identification accuracy.
  • Block 13 of data clustering serves to divide the data packages into groups (clusters) of similar objects to simplify further data processing and decision-making.
  • each group of data can be applied to its own analysis method.
  • the functioning of the firewall system is determined by a set of rules, such as Suricata (Suricata is an open source intrusion detection system (IDS) and intrusion prevention system (IPS) developed by the Open Information Security Foundation (OISF)), which can be stored in the memory block 14.
  • Suricata is an open source intrusion detection system (IDS) and intrusion prevention system (IPS) developed by the Open Information Security Foundation (OISF)
  • IDS open source intrusion detection system
  • IPS intrusion prevention system
  • OFISF Open Information Security Foundation
  • Clusters can also be redirected from one own chain to another. This allows for optimization of network traffic processing, since each packet from the cluster is processed according to its own rules.
  • information on any packet is simultaneously sent to block 15 of the registration log.
  • the traffic flow analysis system is configured so that packets are not discarded, but sent to block 13 for subsequent re-clustering if any discrepancies with the rules are detected.
  • block 11 for receiving and preliminary analysis of network traffic checks that such a packet has already passed through, and marks it so that when re-clustering, the packet is placed in another cluster during sorting, and only after re-processing is it discarded.
  • the established rules for processing a network packet are refined depending on the passing traffic and the clusters that are formed.
  • the firewall system comprises a graphical user interface 16.
  • a graphical user interface 16 In this case, it is possible not to discard packets, but to send them to the graphical user interface 16, where they will be checked by the system administrator.
  • the system administrator can take all the information about the network traffic directly from the registration log block 15, he can also skip the packet manually and send it to the network traffic reception and preliminary analysis block 11, and then enter clarification about the packet into the registration log block 15.
  • Log block 15 collects data on each packet (including discarded ones) that comes from the 12 DPI device.
  • the data for analysis is metadata. Storing metadata without actual content is approximately 1/100th the compression ratio compared to raw network traffic and significantly increases the amount of information stored about packets.
  • Another advantage of the proposed system is that information about the identified atypical packets in block 13 clustering can be immediately sent to block 15 of the registration log.
  • the traffic flow analysis system is used as a method and/or intrusion detection system (IDS).
  • IDS intrusion detection system
  • a method for analyzing a traffic flow implemented using a network traffic reception and preliminary analysis unit, in which the incoming traffic is received and analyzed, which is connected to a new device detection unit, a DPI deep packet inspection device, a signature unit, and a memory unit, characterized in that the reception and preliminary analysis unit is connected to the DPI deep packet inspection device, a memory unit, and a new device detection unit and a signature unit connected to it, wherein the traffic reception and analysis unit is connected to the new device detection unit.
  • the method for detecting an intrusion in accordance with Fig. 2/3 is implemented in a hardware and software complex, which is a traffic flow analysis system, which includes the following blocks:
  • Memory block 24 is designed to store various information and sets of rules in accordance with the information security policy and is connected to the new device detection block and the signature block.
  • the network traffic reception and parsing unit 21 serves to collect network traffic at the channel level, i.e. traffic coming from the global Internet or traffic that passes within the enterprise network, for example, via a local network, and for its further parsing in accordance with the structure of the IP/TCP stack packet.
  • the means for parsing packets at the network and transport, or at the network, transport and application levels can be used.
  • the incoming traffic is divided into TCP, UDP or other transport streams, after which parsers mark them and break them down into high-level protocols and their fields, normalizing them if necessary.
  • the resulting decoded, unzipped, and normalized protocol fields are then sequentially checked by blocks 22 and 23 for the presence of network attacks or malicious activity in the network traffic.
  • the new device detection unit 22 serves to identify and control network devices between which data exchange and transmission is performed in the network.
  • a network device can be identified in the network by its network address, for example, an IP address, MAC address, URI (Uniform Resource Identifier) or any other network identifier.
  • IP address IP address
  • MAC address MAC address
  • URI Uniform Resource Identifier
  • network traffic is transmitted only between identified devices.
  • the decision to pass or block outgoing or incoming traffic is made by the new device detection unit 22 based on the presence of the network device identifier in the memory unit 24. If the identifier characterizing the network device is contained in the memory unit 24, then the traffic is passed, otherwise, the traffic is blocked.
  • the intrusion detection system contains a signature block 23, which, when checking a packet, accesses a memory block 24 with signatures of known attacks.
  • a signature is understood as a continuous finite sequence of bytes, necessary and sufficient for unambiguous identification of threats.
  • any code of the program being viewed matches a known virus code in memory block 24
  • a decision is made to block the packet.
  • the contents of the packages being examined are compared not directly, but by their checksums, which allows for a significant reduction in the number of stored records of known viruses.
  • a specialist in this field of technology should be It is clear that in order to increase the effectiveness of threats, the database of known viruses must be constantly updated, since new malicious codes and threats appear every day.
  • the network attack signature is almost identical to the virus signature and is a set of features that allow distinguishing a network attack from other types of network traffic.
  • the TCP packet flags SYN and FIN may be set at the same time. This combination of flags is used in many attack programs to bypass filters and monitors that only check for the setting of a single SYN flag.
  • the presence of the string "GET.cgi-bin./etc/passwd" in the data area of the HTTP packet indicates the exploitation of a PathTraversal vulnerability.
  • the destination port 139 and the OOB (Out of Band) flag may be set in the TCP packet header, which is a sign of a WinNuke attack.
  • VPN virtual private network
  • DNS Domain Name System

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

The invention relates to computing systems and to the field of providing information security by means of the preliminary analysis of an incoming stream of traffic to determine whether the traffic belongs to a pre-established connection. The technical result is that of broadening the existing range of technical means and systems for protecting the information security of a computing network using an effective system for analysing a stream of traffic to determine whether the traffic belongs to a predetermined connection, said result being achieved by a system for analysing a stream of traffic to determine whether the traffic belongs to a predetermined connection, parsing packets to obtain data from the packets on a channel level, a network level, a transport level and an application level, splitting the data obtained from the packets into clusters, making a decision on each of the packets in said clusters using set rules for network packet processing, detecting deviations of network traffic that is compliant with said processing rules from a normal packet traffic profile, and refining the set rules for network packet processing.

Description

Система и способ анализа входящего потока трафика System and method for analyzing incoming traffic flow

ОБЛАСТЬ ТЕХНИКИ AREA OF TECHNOLOGY

Изобретение относится к вычислительной технике и сфере обеспечения информационной безопасности за счет предварительного анализа входящего потока трафика о принадлежности трафика к ранее установленному соединению. The invention relates to computing technology and the field of ensuring information security through preliminary analysis of the incoming traffic flow regarding the traffic's belonging to a previously established connection.

УРОВЕНЬ ТЕХНИКИ LEVEL OF TECHNOLOGY

Из уровня техники известны средства защиты периметра локальной (корпоративной) вычислительной сети, именуемые как межсетевой экран, сетевой экран, файервол, брандмауэр - комплексы аппаратных или программных средств, осуществляющие контроль и фильтрацию проходящих через него сетевых пакетов в соответствии с заданными правилами The prior art includes means of protecting the perimeter of a local (corporate) computer network, known as a firewall, network screen, firewall, firewall - a complex of hardware or software that monitors and filters network packets passing through it in accordance with specified rules.

Аналогом предлагаемого решения является «Система защиты компьютерных сетей от несанкционированного доступа», раскрытая в патенте RU2607997, МПК G06F 15/163, опубликованном 11.01.2017, при этом система защиты компьютерных сетей от несанкционированного доступа представляет собой межсетевой фильтр, включаемый между двумя компьютерными сетями таким образом, что весь обмен информацией между указанными сетями ограничивается с помощью правил фильтрации, при этом межсетевой фильтр содержит по меньшей мере два сетевых интерфейса для обмена данными между клиентами первой компьютерной сети и второй компьютерной сети из двух вышеуказанных компьютерных сетей, при этом она дополнительно содержит узел обработки трафика, включающий устройство управления, обеспечивающее ввод правил фильтрации трафика и хранение информации о правилах фильтрации, устройство анализа трафика, обеспечивающее проверку соответствия поступающей информации правилам фильтрации, а также коммутирующее устройство, через которое указанные сетевые интерфейсы соединены между собой и которое обеспечивает прохождение разрешенной правилами фильтрации информации между сетевыми интерфейсами и блокировку неразрешенной правилами фильтрации информации, при этом правила фильтрации запрещают транзитную передачу любых пакетов между указанными сетевыми интерфейсами кроме тех, которые имеют разрешенные признаки и параметры адресации в своих заголовках, форму информационной части пакета, соответствующую шаблону, хранящемуся в памяти межсетевого фильтра, а также параметры запроса или ответа, соответствующие множеству разрешенных значений, хранящихся в памяти межсетевого фильтра. An analogue of the proposed solution is the "System for protecting computer networks from unauthorized access", disclosed in patent RU2607997, IPC G06F 15/163, published on 11.01.2017, wherein the system for protecting computer networks from unauthorized access is a firewall filter, connected between two computer networks in such a way that all information exchange between said networks is limited using filtering rules, wherein the firewall filter contains at least two network interfaces for exchanging data between clients of the first computer network and the second computer network of the two above-mentioned computer networks, wherein it additionally contains a traffic processing unit including a control device that provides for the input of traffic filtering rules and the storage of information about the filtering rules, a traffic analysis device that provides for the verification of the compliance of incoming information with the filtering rules, as well as a switching device through which the said network interfaces are connected to each other and that provides for the passage of information permitted by the filtering rules between the network interfaces and the blocking of information not permitted by the filtering rules, wherein the filtering rules prohibit the transit transmission of any packets between the said network interfaces except for those that have permitted features and addressing parameters in their headers, the form of the information part of the packet corresponding to a template stored in the memory of the firewall filter, as well as the parameters of the request or response corresponding to a set of permitted values stored in the memory of the firewall filter.

Известна «Вычислительная сеть с межсетевым экраном и межсетевой экран», раскрытая в патенте RU2214623, МПК G06F 15/163, G06F 15/173, опубликованном 20.10.2003, которая относится к области обеспечения информационной безопасности и, в частности, касается аппаратно-программных компонент межсетевых экранов, используемых для предотвращения несанкционированного доступа и обмена информацией между различными абонентами компьютерных сетей. Технический результат заключается в повышении информационной безопасности за счет неиспользования или полного сокрытия сетевых интерфейсов устройства защиты. Межсетевой экран для локальных вычислительных сетей содержит по меньшей мере два сетевых интерфейса для пакетной коммутации данных между сегментами вычислительной сети, выполняемой в соответствии с программой фильтрации пакетов. Межсетевой экран после обработки пакета в соответствии с правилами фильтрации сохраняет без изменений информацию о физическом и логическом адресах отправителя каждого из пакетов, содержащуюся в их заголовках. Программа управления не назначает сетевым интерфейсам логических адресов и не передает в связанные с ними сетевые сегменты информацию об их физических адресах. Чтобы обеспечить внесение изменений в правила фильтрации, межсетевой экран содержит специальный интерфейс управления, причем любые изменения параметров фильтрации могут осуществляться исключительно через интерфейс управления. Known is the "Computer Network with a Firewall and a Firewall", disclosed in patent RU2214623, IPC G06F 15/163, G06F 15/173, published on 20.10.2003, which relates to the field of information security and, in particular, concerns hardware and software components of firewalls used to prevent unauthorized access and information exchange between different subscribers of computer networks. The technical result consists in increasing information security due to the non-use or complete concealment of network interfaces of the security device. The firewall for local area networks contains at least two network interfaces for packet switching of data between segments of the computer network, performed in accordance with the program packet filtering. After processing a packet in accordance with the filtering rules, the firewall retains unchanged the information about the physical and logical addresses of the sender of each packet, contained in their headers. The control program does not assign logical addresses to network interfaces and does not transmit information about their physical addresses to the network segments associated with them. To ensure that changes are made to the filtering rules, the firewall contains a special control interface, and any changes to the filtering parameters can be made exclusively through the control interface.

Основными недостатками известных аналогов является, то, что для защиты узлов сети от проникновения через уязвимости или для защиты от загрузки пользователями вредоносных программ, в том числе вирусов, а также для защиты от внутренних угроз и от утечки данных в аналогах не предусмотрено применение способа контроля установленных соединений и анализа входящего потока трафика на предмет его принадлежности к ранее установленному соединению. The main disadvantages of known analogues are that in order to protect network nodes from penetration through vulnerabilities or to protect against users downloading malicious programs, including viruses, as well as to protect against internal threats and data leaks, analogues do not provide for the use of a method for monitoring established connections and analyzing the incoming traffic flow to determine whether it belongs to a previously established connection.

РАСКРЫТИЕ ИЗОБРЕТЕНИЯ DISCLOSURE OF INVENTION

Технический результат изобретения заключается в расширении арсенала технических средств и систем обеспечения информационной безопасности вычислительной сети за счет применения эффективной системы анализа потока трафика о принадлежности трафика к ранее установленному соединению. The technical result of the invention consists in expanding the arsenal of technical means and systems for ensuring information security of a computer network by using an effective system for analyzing the traffic flow regarding the belonging of the traffic to a previously established connection.

Указанный технический результат достигается системой анализа потока трафика о принадлежности трафика к ранее установленному соединению, разбора пакетов для получения данных из пакетов на канальном, сетевом, транспортном и прикладном уровнях, разбиения полученных данных из пакетов на кластеры, принятия решения по каждому пакету в кластерах на основе установленных правил обработки сетевых пакетов, выявления отклонений сетевого трафика, соответствующего правилам обработки, от обычного профиля трафика пакетов, уточнения установленных правил для обработки сетевых пакетов. The specified technical result is achieved by a system of traffic flow analysis on the traffic belonging to a previously established connection, packet parsing to obtain data from packets at the channel, network, transport and application levels, and splitting received data from packets to clusters, making a decision on each packet in clusters based on established rules for processing network packets, identifying deviations in network traffic corresponding to the processing rules from the normal packet traffic profile, and refining the established rules for processing network packets.

В предпочтительном варианте реализации система анализа потока трафика содержит блок приема и предварительного анализа сетевого трафика, блок выявления новых устройств, устройство глубокой инспекции пакетов (deep packet inspection, DPI), блок сигнатур, и блок памяти, при этом, что блок приема и предварительного анализа соединен с устройством глубокой инспекции пакетов (deep packet inspection, DPI) и выполнен с возможностью предварительного анализа входящего потока трафика. Если устройством глубокой инспекции пакетов (DPI) установлено, что трафик принадлежит уже установленному соединению, то есть через блок управления уже проходили такие пакеты с флагами синхронизации (Synchronize sequence numbers, SYN) и подтверждения (Acknowledgement field is significant, ACK), то пакет может быть пропущен без фильтрации. In a preferred embodiment, the traffic flow analysis system comprises a network traffic reception and preliminary analysis unit, a new device detection unit, a deep packet inspection (DPI) device, a signature unit, and a memory unit, wherein the reception and preliminary analysis unit is connected to the deep packet inspection (DPI) device and is configured to perform preliminary analysis of the incoming traffic flow. If the deep packet inspection (DPI) device determines that the traffic belongs to an already established connection, i.e. such packets with synchronization flags (Synchronize sequence numbers, SYN) and acknowledgement field is significant (ACK) have already passed through the control unit, then the packet can be passed without filtering.

В одном из вариантов реализации система содержит графический интерфейс пользователя, на который отправляют результаты работы для проверки системным администратором. In one embodiment, the system includes a graphical user interface to which the results of the work are sent for review by the system administrator.

В случае, если пакет относится к новому соединению, то он направляется в устройство DPI для разбора пакетов. Устройство DPI осуществляет разбор пакетов со спецификацией Интернет протокола (Internet protocol, IP) для получения данных на канальном, сетевом, транспортном и прикладном уровнях. If the packet is related to a new connection, it is sent to the DPI device for packet parsing. The DPI device parses packets with the Internet protocol (IP) specification to obtain data at the channel, network, transport, and application layers.

В одном из вариантов реализации устройство DPI способно извлекать известные используемые протоколы приложений, туннелированные IP-адреса, имена пользователей, имена файлов, НТТР- ссылки и URL-адреса запроса, коды возврата сервера. In one embodiment, the DPI device is capable of extracting known application protocols in use, tunneled IP addresses, usernames, file names, HTTP links and request URLs, server return codes.

В одном из вариантов реализации системы анализа потока трафика блок приема и предварительного анализа сетевого трафика выполнены с возможностью буферизации данных для их временного хранения. In one embodiment of the traffic flow analysis system, the network traffic receiving and preliminary analysis unit is designed with the ability to buffer data for temporary storage.

Примером извлекаемых устройством DPI данных могут служить: получение физических адресов хостов (МАС адрес), типа сетевого протокола (IPv4 и IPv6), IP-адреса хостов источника и назначения, тип транспортного протокола (IP, ICMP, RIP, DDP, ARP и другие), номера портов источника и назначения, а также LLC, значение сервисных флагов, значение TCP «окна». Examples of data extracted by the DPI device include: obtaining physical addresses of hosts (MAC address), network protocol type (IPv4 and IPv6), IP addresses of source and destination hosts, transport protocol type (IP, ICMP, RIP, DDP, ARP, etc.), source and destination port numbers, as well as LLC, service flag values, and TCP "window" values.

Примерами данных прикладного уровня могут быть протоколы удалённого доступа и совместного использования ресурсов, HTTP, SMTP, FTP, HTTPS, TELNET, SSH, DNS и другие известные протоколы. Examples of application layer data include remote access and resource sharing protocols, HTTP, SMTP, FTP, HTTPS, TELNET, SSH, DNS and other well-known protocols.

Устройство DPI имеет встроенную базу данных сигнатур с характеристиками для сопоставления анализируемых пакетов трафика, что позволяет точно определить анализируемое приложение или протокол. The DPI device has a built-in signature database with characteristics for matching analyzed traffic packets, which allows you to accurately identify the application or protocol being analyzed.

Для дополнения базы данных сигнатур характеристик новыми приложениями и протоколами, база данных сигнатур характеристик выполнена с возможностью обновления и уточнения. To supplement the feature signature database with new applications and protocols, the feature signature database is designed to be updatable and refined.

Применение системы и способа с предварительным анализом входящего потока трафика позволяет существенно снизить время проверки пакетов данных, особенно в тех случаях, в которых это наиболее важно. The use of a system and method with preliminary analysis of the incoming traffic flow allows for a significant reduction in the time required to check data packets, especially in those cases where this is most important.

Так, например, задержка более чем на 150 миллисекунд неприемлема для двухсторонних голосовых разговоров и может произойти обрыв связи. Также может быть задан допустимый временной интервал отсутствия трафика, по умолчанию он, обычно, равняется 25 секундам. В случае, если время будет превышено, то данный трафик будет относиться к новому соединению. For example, a delay of more than 150 milliseconds is unacceptable for two-way voice conversations and may cause a connection break. An acceptable time interval for no traffic can also be set, by default it is usually 25 seconds. If the time is exceeded, this traffic will be related to a new connection.

Кроме того, для каждого типа трафика и/или протокола по выбору пользователя может быть задан свой допустимый временной интервал отсутствия трафика. Таким образом, могут быть получены данные прикладного уровня, а также связанные с ними метаданные каждого сетевого пакета. In addition, each traffic type and/or protocol can be configured to have its own acceptable time interval for no traffic, at the user's discretion. In this way, application-level data and associated metadata for each network packet can be obtained.

КРАТКОЕ ОПИСАНИЕ ЧЕРТЕЖЕЙ BRIEF DESCRIPTION OF DRAWINGS

Фиг.1/3 отображает блок-схему системы обработки трафика с помощью системы межсетевого экрана в соответствии с настоящим изобретением. Fig. 1/3 shows a block diagram of a traffic processing system using a firewall system in accordance with the present invention.

Фиг.2/3 отображает блок-схему способа обработки трафика с помощью системы межсетевого экрана в соответствии с настоящим изобретением и информационных потоков между блоками системы. Fig. 2/3 shows a block diagram of a method for processing traffic using a firewall system in accordance with the present invention and information flows between system blocks.

Фиг.3/3 отображает архитектуру системы межсетевого экрана в соответствии с настоящим изобретением. Fig. 3/3 shows the architecture of a firewall system according to the present invention.

ОСУЩЕСТВЛЕНИЕ ИЗОБРЕТЕНИЯ IMPLEMENTATION OF THE INVENTION

Изобретение представляет собой комплекс аппаратно- программных средств, обеспечивающих реализацию системы анализа потока трафика, которая в соответствии с Фиг.1/3 содержит следующие блоки: The invention is a complex of hardware and software tools that ensure the implementation of a traffic flow analysis system, which, in accordance with Fig. 1/3, contains the following blocks:

• 11 - блок приема и предварительного анализа сетевого трафика; • 11 - block for receiving and preliminary analysis of network traffic;

• 12 - устройство глубокой инспекции пакетов DPI (deep packet inspection); • 12 - deep packet inspection device (DPI);

• 13 - блок кластеризации данных; • 13 - data clustering block;

• 14 - блок памяти; • 15 - блок журнала регистрации; • 14 - memory block; • 15 - registration log block;

• 16 - графический интерфейс пользователя, содержится в одном из вариантов реализации системы. • 16 - graphical user interface, contained in one of the implementation options of the system.

Блок 11 приема и предварительного анализа сетевого трафика соединен с устройством 12 DPI и выполнен с возможностью предварительного анализа входящего потока трафика. Если установлено, что трафик принадлежит уже установленному соединению, то есть через блок 11 приема и предварительного анализа сетевого трафика уже проходили такие пакеты с флагами SYN и АСК, то пакет может быть пропущен без фильтрации. The network traffic reception and preliminary analysis unit 11 is connected to the DPI device 12 and is designed with the possibility of preliminary analysis of the incoming traffic flow. If it is established that the traffic belongs to an already established connection, i.e. such packets with the SYN and ACK flags have already passed through the network traffic reception and preliminary analysis unit 11, then the packet can be passed without filtering.

Устройство 12 DPI осуществляет разбор пакетов со спецификацией протокола IP для получения данных на канальном, сетевом, транспортном и прикладном уровнях. Устройство 12 DPI выполнено с возможностью извлечения из трафика используемых протоколов приложений, туннелированных IP-адресов, имен пользователей, имен файлов, НТТР- ссылок и URL-адресов запроса, кодов возврата сервера. The 12 DPI device parses packets with the IP protocol specification to obtain data at the channel, network, transport and application levels. The 12 DPI device is designed with the ability to extract from the traffic the application protocols used, tunneled IP addresses, user names, file names, HTTP links and request URLs, and server return codes.

Примерами извлекаемых из потока трафика данных могут служить: получение физических адресов хостов (МАС адрес), типа сетевого протокола (IPv4 и IPv6), IP-адреса хостов источника и назначения, тип транспортного протокола (IP, ICMP, RIP, DDP, ARP и другие), номера портов источника и назначения, а также LLC, значение сервисных флагов, значение TCP «окна». Примерами данных прикладного уровня могут быть протоколы удалённого доступа и совместного использования ресурсов, например, HTTP, SMTP, FTP, HTTPS, TELNET, SSH, DNS и другие. Examples of data extracted from the traffic flow include: obtaining physical addresses of hosts (MAC address), network protocol type (IPv4 and IPv6), IP addresses of source and destination hosts, transport protocol type (IP, ICMP, RIP, DDP, ARP, etc.), source and destination port numbers, as well as LLC, service flag values, TCP "window" values. Examples of application-level data include remote access and resource sharing protocols such as HTTP, SMTP, FTP, HTTPS, TELNET, SSH, DNS, etc.

Таким образом, могут быть получены данные прикладного уровня, а также связанные с ними метаданные каждого сетевого пакета. Устройство 12 DPI имеет свои уникальные характеристики, которые занесены во встроенную базу данных сигнатур. Сопоставление образца из базы с анализируемым трафиком позволяет точно определить приложение или протокол. Но так как периодически появляются новые приложения и протоколы, то базу данных сигнатур также необходимо обновлять для обеспечения высокой точности идентификации. In this way, application layer data and associated metadata of each network packet can be obtained. The 12 DPI device has its own unique characteristics, which are recorded in the built-in signature database. Matching a sample from databases with analyzed traffic allow to accurately identify the application or protocol. But since new applications and protocols appear periodically, the signature database also needs to be updated to ensure high identification accuracy.

Блок 13 кластеризации данных служит для разбиения данных пакетов на группы (кластеры) схожих объектов для упрощения дальнейшей обработки данных и принятий решений. При этом к каждой группе данных может применяться свой метод анализа. Block 13 of data clustering serves to divide the data packages into groups (clusters) of similar objects to simplify further data processing and decision-making. In this case, each group of data can be applied to its own analysis method.

Функционирование системы межсетевого экранирования определяется набором правил, например, Suricata (Suricata - это основанная на открытом исходном коде система обнаружения вторжений (IDS) и система предотвращения вторжений (IPS), разработана Фондом открытой информационной безопасности (OISF)), которые могут храниться в блоке 14 памяти. Для каждого кластера создают и устанавливают свои правила обработки, отличные от других кластеров. Таким образом, формируют цепочки, в которые перенаправляют кластеры для последующей обработки. The functioning of the firewall system is determined by a set of rules, such as Suricata (Suricata is an open source intrusion detection system (IDS) and intrusion prevention system (IPS) developed by the Open Information Security Foundation (OISF)), which can be stored in the memory block 14. For each cluster, its own processing rules are created and installed, different from other clusters. In this way, chains are formed, into which clusters are redirected for subsequent processing.

Для работы системы достаточно создать одно общее правило для конкретного кластера, а затем перенаправлять из него кластеры в отдельные цепочки. Также могут быть перенаправлены кластеры из одной собственной цепочки в другую. Это позволяет оптимизировать обработку сетевого трафика, поскольку каждый пакет из кластера обрабатывается по своим правилам. Кроме того, информация по любому пакету одновременно направляется в блок 15 журнала регистрации. Также система анализа потока трафика настроена так, чтобы пакеты не отбрасывались, а направлялись в блок 13 для последующей повторной кластеризацией в случае, если были обнаружены какие-то несоответствия правилам. На основе временного хранения файлов в буфере (на фигуре не обозначен) блок 11 приема и предварительного анализа сетевого трафика выполняет проверку, что такой пакет уже проходил, и проставляет отметку, чтобы при повторной кластеризации пакет при сортировке был помещен в другой кластер, и только после повторной обработки был отброшен. Периодически выполняют уточнение установленных правил обработки сетевого пакета в зависимости от проходящего трафика и образующихся кластеров. To operate the system, it is sufficient to create one general rule for a specific cluster, and then redirect clusters from it to separate chains. Clusters can also be redirected from one own chain to another. This allows for optimization of network traffic processing, since each packet from the cluster is processed according to its own rules. In addition, information on any packet is simultaneously sent to block 15 of the registration log. Also, the traffic flow analysis system is configured so that packets are not discarded, but sent to block 13 for subsequent re-clustering if any discrepancies with the rules are detected. Based on temporary storage of files in the buffer (not shown in the figure), block 11 for receiving and preliminary analysis of network traffic checks that such a packet has already passed through, and marks it so that when re-clustering, the packet is placed in another cluster during sorting, and only after re-processing is it discarded. Periodically, the established rules for processing a network packet are refined depending on the passing traffic and the clusters that are formed.

В предпочтительном варианте изобретения система межсетевого экранирования содержит графический интерфейс пользователя 16. В этом случае существует возможность не отбрасывать пакеты, а направлять в графический интерфейс пользователя 16, где он будет проверяться системным администратором. Всю информацию о сетевом трафике системный администратор может взять непосредственно из блока 15 журнала регистрации, он также может пропустить пакет вручную и направить его в блок 11 приема и предварительного анализа сетевого трафика, а затем внести уточнении о пакете в блок 15 журнала регистрации. In a preferred embodiment of the invention, the firewall system comprises a graphical user interface 16. In this case, it is possible not to discard packets, but to send them to the graphical user interface 16, where they will be checked by the system administrator. The system administrator can take all the information about the network traffic directly from the registration log block 15, he can also skip the packet manually and send it to the network traffic reception and preliminary analysis block 11, and then enter clarification about the packet into the registration log block 15.

Блок 15 журнала регистрации собирает данные о каждом пакете (в том числе и отброшенных), которые поступают от устройства 12 DPI. Log block 15 collects data on each packet (including discarded ones) that comes from the 12 DPI device.

В предпочтительном варианте реализации изобретения данными для анализа выступают метаданные. Хранение метаданных без реального контента составляет приблизительно 1/100 степени сжатия по сравнению с необработанным сетевым трафиком и значительно увеличивает количество хранимой информации о пакетах. In a preferred embodiment of the invention, the data for analysis is metadata. Storing metadata without actual content is approximately 1/100th the compression ratio compared to raw network traffic and significantly increases the amount of information stored about packets.

Преимуществом предлагаемой системы является также то, что информация о выявленных нетипичных пакетах в блоке 13 кластеризация может быть сразу направлена в блок 15 журнала регистрации. Another advantage of the proposed system is that information about the identified atypical packets in block 13 clustering can be immediately sent to block 15 of the registration log.

В одном из сценариев использования систему анализа потока трафика применяют в качестве способа и/или системы обнаружения вторжений (СОВ). Способ анализа потока трафика реализуемый с помощью блока приема и предварительного анализа сетевого трафика, в котором выполняют прием и анализ поступившего трафика, который соединен с блоком выявления новых устройств, устройством глубокой инспекции пакетов DPI, блоком сигнатур и блоком памяти, отличающийся тем, что блок приема и предварительного анализа соединен с устройством глубокой инспекции пакетов DPI, блоком памяти и соединёнными с ним блоком выявления новых устройств и блоком сигнатур, при этом блок приема и разбора трафика соединен с блоком выявления новых устройств. In one use case, the traffic flow analysis system is used as a method and/or intrusion detection system (IDS). A method for analyzing a traffic flow implemented using a network traffic reception and preliminary analysis unit, in which the incoming traffic is received and analyzed, which is connected to a new device detection unit, a DPI deep packet inspection device, a signature unit, and a memory unit, characterized in that the reception and preliminary analysis unit is connected to the DPI deep packet inspection device, a memory unit, and a new device detection unit and a signature unit connected to it, wherein the traffic reception and analysis unit is connected to the new device detection unit.

Способ обнаружения вторжения в соответствии с Фиг.2/3 выполняют в комплексе аппаратно-программных средств, представляющем собой систему анализа потока трафика, которая включает в себя следующие блоки: The method for detecting an intrusion in accordance with Fig. 2/3 is implemented in a hardware and software complex, which is a traffic flow analysis system, which includes the following blocks:

•21 - блок приема и разбора сетевого трафика; •21 - block for receiving and parsing network traffic;

•22 - блок выявления новых устройств; •22 - block for detecting new devices;

•23 - блок сигнатур; •23 - signature block;

•24 - блок памяти. •24 - memory block.

Блок 24 памяти предназначен для хранения различной информации и наборов правил в соответствии с информационной политикой безопасности и соединен с блоком выявления новых устройств и блоком сигнатур. Memory block 24 is designed to store various information and sets of rules in accordance with the information security policy and is connected to the new device detection block and the signature block.

Блок 21 приема и разбора сетевого трафика служит для сбора сетевого трафика на канальном уровне, то есть трафика, поступающего из глобальной сети Интернет или трафика, который проходит внутри сети предприятия, например, по локальной сети и для его дальнейшего разбора в соответствии со структурой пакета стека IP/TCP. Для разбора пакета могут быть использованы средства для разбора пакетов на сетевом и транспортном, либо на сетевом, транспортном и прикладном уровнях. Первым делом, входящий трафик разбивается на TCP, UDP или другие транспортные потоки, после чего парсеры маркируют их и разбивают на высокоуровневые протоколы и их поля, нормализуя, если требуется. Полученные декодированные, разархивированные и нормализованные поля протоколов затем последовательно проверяются блоками 22 и 23 на наличие в сетевом трафике сетевых атак или вредоносной активности. The network traffic reception and parsing unit 21 serves to collect network traffic at the channel level, i.e. traffic coming from the global Internet or traffic that passes within the enterprise network, for example, via a local network, and for its further parsing in accordance with the structure of the IP/TCP stack packet. To parse the packet, the means for parsing packets at the network and transport, or at the network, transport and application levels can be used. First, the incoming traffic is divided into TCP, UDP or other transport streams, after which parsers mark them and break them down into high-level protocols and their fields, normalizing them if necessary. The resulting decoded, unzipped, and normalized protocol fields are then sequentially checked by blocks 22 and 23 for the presence of network attacks or malicious activity in the network traffic.

Блок 22 выявления новых устройств служит для идентификации и контроля сетевых устройств, между которыми осуществляется обмен и передача данных в сети. Сетевое устройство может быть идентифицировано в сети его сетевым адресом, например, IP адресом, МАС адресом, URI (Uniform Resource Identifier) или любым другим сетевым идентификатором. Таким образом, передача сетевого трафика осуществляется только между идентифицированными устройствами. Решение о пропуске или блокировке исходящего или входящего трафика принимается блоком 22 выявления новых устройств на основе наличия идентификатора сетевого устройства в блоке 24 памяти. Если идентификатор, характеризующий сетевое устройство, содержится в блоке 24 памяти, то трафик пропускается, в ином случае, происходит блокировка трафика. The new device detection unit 22 serves to identify and control network devices between which data exchange and transmission is performed in the network. A network device can be identified in the network by its network address, for example, an IP address, MAC address, URI (Uniform Resource Identifier) or any other network identifier. Thus, network traffic is transmitted only between identified devices. The decision to pass or block outgoing or incoming traffic is made by the new device detection unit 22 based on the presence of the network device identifier in the memory unit 24. If the identifier characterizing the network device is contained in the memory unit 24, then the traffic is passed, otherwise, the traffic is blocked.

Для определения сетевых атак система обнаружения вторжений содержит блок 23 сигнатур, который при проверке пакета обращается к блоку 24 памяти с сигнатурами известных атак. To detect network attacks, the intrusion detection system contains a signature block 23, which, when checking a packet, accesses a memory block 24 with signatures of known attacks.

Под сигнатурой понимается непрерывная конечная последовательность байтов, необходимая и достаточная для однозначной идентификации угроз. В случае соответствия какого-либо кода просматриваемой программы известному коду вируса в блоке 24 памяти принимается решение о блокировке пакета. В предпочтительном варианте сравнение содержимого исследуемых пакетов проводится не напрямую, а по их контрольным суммам, что позволяет существенно снизить количество хранящихся записей об известных вирусах. Специалисту в данной области технике должно быть понятно, что для повышения эффективности угроз база известных вирусов должная постоянно обновляться, так как ежедневно появляются новые вредоносные коды и угрозы. A signature is understood as a continuous finite sequence of bytes, necessary and sufficient for unambiguous identification of threats. In the event that any code of the program being viewed matches a known virus code in memory block 24, a decision is made to block the packet. In the preferred embodiment, the contents of the packages being examined are compared not directly, but by their checksums, which allows for a significant reduction in the number of stored records of known viruses. A specialist in this field of technology should be It is clear that in order to increase the effectiveness of threats, the database of known viruses must be constantly updated, since new malicious codes and threats appear every day.

Сигнатура сетевой атаки практически не отличается от сигнатуры вируса и представляет собой набор признаков, позволяющих отличить сетевую атаку от других видов сетевого трафика. Например, могут быть одновременно установлены противоречащие друг другу флаги TCP пакета: SYN и FIN. Данная комбинация флагов используется во многих атакующих программах для обхода фильтров и мониторов, проверяющих только установку одиночного SYN флага. Наличие строки «GET.cgi-bin./etc/passwd» в области данных HTTP-пакета свидетельствует об эксплуатации уязвимости типа PathTraversal. Наконец, в заголовке TCP пакета может быть установлен порт назначения 139 и флаг ООВ (Out of Band), что является признаком атаки WinNuke. The network attack signature is almost identical to the virus signature and is a set of features that allow distinguishing a network attack from other types of network traffic. For example, the TCP packet flags SYN and FIN may be set at the same time. This combination of flags is used in many attack programs to bypass filters and monitors that only check for the setting of a single SYN flag. The presence of the string "GET.cgi-bin./etc/passwd" in the data area of the HTTP packet indicates the exploitation of a PathTraversal vulnerability. Finally, the destination port 139 and the OOB (Out of Band) flag may be set in the TCP packet header, which is a sign of a WinNuke attack.

В соответствии с Фиг.3/3 в системе анализа потока трафика в соответствии с настоящим изобретением могут быть реализованы так же дополнительные функции: In accordance with Fig. 3/3, additional functions can also be implemented in the traffic flow analysis system in accordance with the present invention:

•30 - пакетная фильтрация; •30 - packet filtering;

•31 - маршрутизация; •31 - routing;

•32 - функция обнаружения вторжения (СОВ или IDS по промышленным протоколам); •32 - intrusion detection function (ISO or IDS according to industrial protocols);

•33 - создания отказоустойчивого кластера; •33 - creating a failover cluster;

•34 - потокового антивируса; •34 - streaming antivirus;

•35 - управления и настройки сетевых интерфейсов; •35 - management and configuration of network interfaces;

•36 - виртуальной частной сети (virtual private network, VPN); •36 - virtual private network (VPN);

•37 - интеграции c Active Directory; •37 - integration with Active Directory;

•38 - системы доменных имен (Domain Name System, DNS); •39 - функция веб-сервера. •38 - Domain Name System (DNS); •39 - web server function.

Claims

ФОРМУЛА ИЗОБРЕТЕНИЯ CLAUSE OF INVENTION 1. Система анализа потока трафика содержит блок приема и предварительного анализа сетевого трафика, блок выявления новых устройств, устройство глубокой инспекции пакетов DPI, блок сигнатур и блок памяти, отличающаяся тем, что блок приема и предварительного анализа соединен с устройством глубокой инспекции пакетов DPI и выполнен с возможностью предварительного анализа входящего потока трафика, при этом если устройством глубокой инспекции пакетов DPI установлено, что трафик принадлежит уже установленному соединению, то есть через блок управления уже проходили такие пакеты с флагами синхронизации SYN и подтверждения АСК, то пакет может быть пропущен без фильтрации. 1. A traffic flow analysis system comprises a network traffic reception and preliminary analysis unit, a new device detection unit, a DPI deep packet inspection device, a signature unit and a memory unit, characterized in that the reception and preliminary analysis unit is connected to the DPI deep packet inspection device and is designed with the ability to preliminary analyze the incoming traffic flow, wherein if the DPI deep packet inspection device determines that the traffic belongs to an already established connection, i.e. such packets with SYN synchronization and ACK confirmation flags have already passed through the control unit, then the packet can be passed without filtering. 2. Система по п.1 формулы, в которой дополнительно реализован графический интерфейс пользователя. 2. The system according to claim 1, in which a graphical user interface is additionally implemented. 3. Система по п.1 формулы, в которой в случае, если пакет относится к новому соединению, то он направляется в устройство DPI для разбора пакетов, которое осуществляет разбор пакетов со спецификацией Интернет протокола для получения данных на канальном, сетевом, транспортном и прикладном уровнях. 3. The system according to claim 1, wherein if the packet relates to a new connection, it is sent to a DPI device for parsing packets, which parses packets with an Internet protocol specification to obtain data at the channel, network, transport and application levels. 4. Система по п.1 формулы, в которой устройство DPI способно извлекать известные используемые протоколы приложений, туннелированные IP-адреса, имена пользователей, имена файлов, НТТР- ссылки и URL-адреса запроса, коды возврата сервера. 4. The system according to claim 1, wherein the DPI device is capable of extracting known application protocols used, tunneled IP addresses, user names, file names, HTTP links and request URLs, server return codes. 5. Система по п.1 формулы, в которой системы анализа потока трафика блок приема и предварительного анализа сетевого трафика выполнены с возможностью буферизации данных для их временного хранения. 5. The system according to claim 1, in which the traffic flow analysis systems, the network traffic reception unit and preliminary analysis unit are designed with the ability to buffer data for their temporary storage. 6. Способ анализа потока трафика реализуемый с помощью блока приема и предварительного анализа сетевого трафика, в котором выполняют прием и анализ поступившего трафика, который соединен с блоком выявления новых устройств, выполняющим идентификацию и контроль осуществляющих обмен и передачу данных в сети сетевых устройств, устройством глубокой инспекции пакетов DPI, с помощью которого выполняют сопоставление образцов из базы с анализируемым трафиком и определяют приложение или протокол, которые затем последовательно проверяют полученные декодированные, разархивированные и нормализованные поля протоколов с применением блоком сигнатур и блоком памяти на наличие в сетевом трафике сетевых атак или вредоносной активности, отличающийся тем, что блок приема и предварительного анализа соединен с устройством глубокой инспекции пакетов DPI и выполнен с возможностью предварительного анализа входящего потока трафика, при этом если устройством глубокой инспекции пакетов DPI установлено, что трафик принадлежит уже установленному соединению, то есть через блок управления уже проходили такие пакеты с флагами синхронизации SYN и подтверждения АСК, то пакет может быть пропущен без фильтрации. 6. A method for analyzing a traffic flow implemented using a network traffic reception and preliminary analysis unit, in which incoming traffic is received and analyzed, which is connected to a new device detection unit that identifies and controls network devices that exchange and transmit data in the network, a DPI deep packet inspection device, with the help of which samples from the database are compared with the analyzed traffic and an application or protocol is determined, which then sequentially check the received decoded, unzipped and normalized protocol fields using a signature unit and a memory unit for the presence of network attacks or malicious activity in the network traffic, characterized in that the reception and preliminary analysis unit is connected to the DPI deep packet inspection device and is configured to preliminary analyze the incoming traffic flow, wherein if the DPI deep packet inspection device determines that the traffic belongs to an already established connection, i.e. such packets with SYN synchronization flags and ACK confirmation flags have already passed through the control unit, then the packet can be passed without filtering. 7. Способ по п.6 формулы, в котором отправляют результаты работы на графический интерфейса пользователя. 7. The method according to claim 6, in which the results of the work are sent to the user's graphical interface. 8. Способ по п.6 формулы, в котором в случае, если пакет относится к новому соединению, то он направляется в устройство DPI для разбора пакетов, которое осуществляет разбор пакетов со спецификацией Интернет протокола для получения данных на канальном, сетевом, транспортном и прикладном уровнях. 8. The method according to claim 6, wherein if the packet relates to a new connection, it is sent to a DPI device for parsing packets, which parses packets with an Internet protocol specification to obtain data at the channel, network, transport and application levels. 9. Способ по п.6 формулы, в котором устройство DPI извлекает известные используемые протоколы приложений, туннелированные IP- адреса, имена пользователей, имена файлов, HTTP-ссылки и URL-адреса запроса, коды возврата сервера. 9. The method according to claim 6, wherein the DPI device extracts known used application protocols tunneled by IP- addresses, usernames, file names, HTTP links and request URLs, server return codes. 10. Способ по п.6 формулы, в котором системы анализа потока трафика блок приема и предварительного анализа сетевого трафика выполняют буферизацию данных для их временного хранения. 10. The method according to claim 6, in which the traffic flow analysis systems, the network traffic reception and preliminary analysis unit, buffer data for their temporary storage.
PCT/RU2024/000075 2023-06-02 2024-03-06 System and method for analysing an incoming stream of traffic Pending WO2024248658A1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202480004152.0A CN120051980A (en) 2023-06-02 2024-03-06 System and method for analyzing incoming traffic streams

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
RU2023114575 2023-06-02
RU2023114575A RU2812087C1 (en) 2023-06-02 System and method for analysing incoming traffic flow

Publications (1)

Publication Number Publication Date
WO2024248658A1 true WO2024248658A1 (en) 2024-12-05

Family

ID=93658090

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/RU2024/000075 Pending WO2024248658A1 (en) 2023-06-02 2024-03-06 System and method for analysing an incoming stream of traffic

Country Status (2)

Country Link
CN (1) CN120051980A (en)
WO (1) WO2024248658A1 (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN120729619A (en) * 2025-08-15 2025-09-30 北京浩瀚深度信息技术股份有限公司 HTTPS traffic decryption method based on non-perception differentiation of original TCP connection technology

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20080077705A1 (en) * 2006-07-29 2008-03-27 Qing Li System and method of traffic inspection and classification for purposes of implementing session nd content control
US20110060851A1 (en) * 2009-09-08 2011-03-10 Matteo Monchiero Deep Packet Inspection (DPI) Using A DPI Core
US20150334090A1 (en) * 2014-05-13 2015-11-19 Sonicwall, Inc. Method to enable deep packet inspection (dpi) in openflow-based software defined network (sdn)
US20160072684A1 (en) * 2013-02-11 2016-03-10 Vmware, Inc. Distributed deep packet inspection
RU2697698C2 (en) * 2017-12-27 2019-08-16 Общество с ограниченной ответственностью "АСП Лабс" Method of processing network traffic using firewall method

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20080077705A1 (en) * 2006-07-29 2008-03-27 Qing Li System and method of traffic inspection and classification for purposes of implementing session nd content control
US20110060851A1 (en) * 2009-09-08 2011-03-10 Matteo Monchiero Deep Packet Inspection (DPI) Using A DPI Core
US20160072684A1 (en) * 2013-02-11 2016-03-10 Vmware, Inc. Distributed deep packet inspection
US20150334090A1 (en) * 2014-05-13 2015-11-19 Sonicwall, Inc. Method to enable deep packet inspection (dpi) in openflow-based software defined network (sdn)
RU2697698C2 (en) * 2017-12-27 2019-08-16 Общество с ограниченной ответственностью "АСП Лабс" Method of processing network traffic using firewall method

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN120729619A (en) * 2025-08-15 2025-09-30 北京浩瀚深度信息技术股份有限公司 HTTPS traffic decryption method based on non-perception differentiation of original TCP connection technology

Also Published As

Publication number Publication date
CN120051980A (en) 2025-05-27

Similar Documents

Publication Publication Date Title
US8042182B2 (en) Method and system for network intrusion detection, related network and computer program product
US7706378B2 (en) Method and apparatus for processing network packets
EP1558937B1 (en) Active network defense system and method
US7486673B2 (en) Method and system for reassembling packets prior to searching
EP1873992B1 (en) Packet classification in a network security device
US6609205B1 (en) Network intrusion detection signature analysis using decision graphs
US7650634B2 (en) Intelligent integrated network security device
US6487666B1 (en) Intrusion detection signature analysis using regular expressions and logical operators
US8320372B2 (en) Processing of packet fragments
US20070022479A1 (en) Network interface and firewall device
US8006303B1 (en) System, method and program product for intrusion protection of a network
Mukkamala et al. A survey on the different firewall technologies
WO2006069041A2 (en) Network interface and firewall device
KR101217647B1 (en) Method and apparatus for defending against denial of service attacks in IP networks based on specified source/destination IP address pairs
WO2024248658A1 (en) System and method for analysing an incoming stream of traffic
KR20200109875A (en) Harmful ip determining method
CN101116052A (en) Network interface and firewall equipment
RU2812087C1 (en) System and method for analysing incoming traffic flow
RU2697698C2 (en) Method of processing network traffic using firewall method
EA049368B1 (en) SYSTEM AND METHOD FOR ANALYZING INCOMING TRAFFIC FLOW
Yegneswaran et al. Internet Sieve: An Architecture for Generating Resilient Signatures
RU2691192C1 (en) Firewall system
Pilli et al. Data reduction by identification and correlation of TCP/IP attack attributes for network forensics
Jawahar et al. Application Controlled Secure Dynamic Firewall for Automotive Digital Cockpit
Mizutani et al. The design and implementation of session‐based IDS

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 24815987

Country of ref document: EP

Kind code of ref document: A1

WWE Wipo information: entry into national phase

Ref document number: 202517019046

Country of ref document: IN

WWE Wipo information: entry into national phase

Ref document number: 202480004152.0

Country of ref document: CN

WWG Wipo information: grant in national office

Ref document number: 202400035

Country of ref document: EA

WWP Wipo information: published in national office

Ref document number: 202480004152.0

Country of ref document: CN

WWP Wipo information: published in national office

Ref document number: 202517019046

Country of ref document: IN