METHOD OF DETECTING LOCAL AREA NETWORK DEVICES, OPERATING IN NETWORK TRAFFIC CAPTURE MODE

METHOD OF DETECTING LOCAL AREA NETWORK DEVICES, OPERATING IN NETWORK TRAFFIC CAPTURE MODE

FIELD: physics; computer engineering. ^ SUBSTANCE: invention relates to computer engineering and can be used in automated information security media with the objective of monitoring local area networks to detect computer attacks on network resources. The method of detecting local area network device...

Ausführliche Beschreibung

Gespeichert in:
Bibliographische Detailangaben
Hauptverfasser: BOCHKOV MAKSIM VADIMOVICH, KOZACHOK ANDREJ VASIL'EVICH
Format: Patent
Sprache:eng ; rus
Schlagworte:
CALCULATING
COMPUTING
COUNTING
ELECTRIC COMMUNICATION TECHNIQUE
ELECTRIC DIGITAL DATA PROCESSING
ELECTRICITY
PHYSICS
TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHICCOMMUNICATION
Online-Zugang:Volltext bestellen
Tags: Tag hinzufügen
Keine Tags, Fügen Sie den ersten Tag hinzu!
Beschreibung
Zusammenfassung:FIELD: physics; computer engineering. ^ SUBSTANCE: invention relates to computer engineering and can be used in automated information security media with the objective of monitoring local area networks to detect computer attacks on network resources. The method of detecting local area network devices, operating in network traffic capture mode, involves using a control network node for detecting devices, in which a threshold value for the coefficient of correlation is given. The response time of workstations on the network is then determined. ICMP packets with a submit field, which is not in the probed network, are broadcast on the network, and network loading is recorded. After that, the correlation coefficient of values of network loading parametres and response time of workstations is determined and, if the correlation coefficient exceeds the threshold value, there is a device on the network, operating in network traffic capture mode. ^ EFFECT: reduced number of false alarms on results of analysing response time of network nodes and increased probability of detecting workstations, operating in network traffic capture mode. ^ 3 dwg Изобретение относится к вычислительной технике и может быть использовано в автоматизированных средствах защиты информации с целью мониторинга локальных вычислительных сетей для обнаружения компьютерных атак на ресурсы вычислительной сети. Техническим результатом изобретения является снижение числа ложных тревог по результатам анализа времени отклика узлов сети и повышение вероятности обнаружения рабочих станций, функционирующих в режиме захвата сетевого графика. Способ обнаружения устройств локальной вычислительной сети, функционирующих в режиме захвата сетевого графика, заключается в том, что для обнаружения устройств используют контролирующий узел сети, в котором задают пороговое значение коэффициента корреляции, затем определяют время отклика рабочих станций, находящихся в сети, циклически осуществляют широковещательную рассылку по сети ICMP-пакетов с полем адресата, несуществующего в зондируемой сети, и фиксируют загрузку сети, после этого определяют коэффициент корреляции значений параметров загрузки сети и времени отклика рабочих станций и, в случае если коэффициент корреляции превышает пороговое значение, принимают решение о наличии в сети устройства, функционирующего в режиме захвата сетевого графика. 3 ил.