СИСТЕМА ВИЯВЛЕННЯ АТАК З ВИКОРИСТАННЯМ HONEYPOT - Наукові конференції

Вас вітає Інтернет конференція!

Вітаємо на нашому сайті

Рік заснування видання - 2011

СИСТЕМА ВИЯВЛЕННЯ АТАК З ВИКОРИСТАННЯМ HONEYPOT

12.10.2021 22:59

[1. Інформаційні системи і технології]

Автор: Жакун Г.А., студент 6 курсу, факультет інформаційних технологій та комп’ютерної інженерії, кафедра захисту інформації, Вінницький національний технічний університет, м. Вінниця; Лукічов В.В., к.т.н., старший викладач, факультет інформаційних технологій та комп’ютерної інженерії, кафедра захисту інформації, Вінницький національний технічний університет, м. Вінниця


В сучасному світі доволі часто проводять Bruteforce атаки і взлам пароля з допомогою соціальної інженерії. Незважаючи на десятиліття досліджень і досвіду, досі все ще не вдається створити безпечні комп'ютерні системи або навіть виміряти безпеку системи.

В результаті використання нововиявлених вразливостей часто проводять атаки нульового дня. Завдяки автоматизації експлуатації та масштабному глобальному пошуку вразливостей, супротивники часто можуть піти на компроміс невдовзі після того, як вразливості стали відомі [1].

Одним із способів завчасного попередження про нові вразливості є встановлення комп’ютерних систем у мережі з очікуванням, що буде проводитися проникнення. Ці системи не мають інших законних функцій, і кожна спроба підключитися до них є підозрілою. Дану систему називають Honeypot. Honeypot може працювати з будь-якою операційною системою та будь з якою кількістю послуг.

Налаштовані служби визначають місця, де противник може вибрати скомпрометувати систему. Honeypot з високою взаємодією імітує всі аспекти операційної системи, тоді як honeypot з низькою взаємодією імітують лише деякі частини, наприклад мережевий стек [2]. Також розрізняється фізичні і віртуальні honeypot. Фізичний honeypot існує як машина з відповідною IP-адресою в мережі, тоді як віртуальний honeypot розміщений на іншій машина, яка реагує на мережевий трафік, спрямований на віртуальний Honeypot. Віртуальні Honeypot приваблюють тим, що вони це роблять не потребує додаткових комп'ютерних систем. Використовуючи віртуальні honeypot, можна заповнити мережу з хостами, що працюють над різними операційними системами. Однак, щоб переконати супротивників у тому, що віртуальний honeypot працює під певною операційною системою, необхідно ретельно моделювати стек TCP/IP цільової операційної системи. По іншому є необхідність вміти підмінювати інструменти відбитків пальців стека TCP/IP, наприклад Xprobe [1] або Nmap [3].

Доволі часто Honeypot дає змогу тільки направити зловмисника в заздалегідь заготовлене середовище та дослідити його атаку. Також це дає змогу зрозуміти які способи та методи атаки були використані. Тільки дана методика не дає можливості виявити зловмисника а в окремих випадках Honeypot вдається розкрити. Тому було запропоновано об’єднати системи моніторингу для виявлення атак та Honeypot. 




Рисунок 1 – Блок-схема виявлення атака з використанням Honeypot.

На рисунку 1 продемонстровано програмний модуль, який об’єднує Honeypot та систему виявлення атак. Перевіркою буде дії користувача, а також спеціальні файли, які не повинні бути відкриті або змінені Honeypot, додатково будуть використовуватися дані про особливості користувача. Функція блокування буде запускатися в тому випадку, коли Адміністратор не прийме рішення за певний період часу. В такому випадку навіть якщо зловмисник проникне в систему, буде можливість його виявити та прийняти дії, Honeypot буде надавати можливість дослідити атаки. Також зловмисник який виявить honeypot не буде очікувати підміни файлів в системі. 

Висновком даного рішення є можливість виявити зловмисника в системі. Також ця система має викликати у зловмисника сумніви в тому чи інформація, яка буде скопійована або розкрита чи є інформація достовірна, і чи зловмисника не було розкрито. Дана система вирішує проблему Honeypot, коли виявляється підміна середовища або можливість відкривання користувачем. 

Література:

1. Lance Spitzner. Honeypots: Tracking Hackers. Addison Wesley Professional, September 2002. 

2. Stuart Staniford, Vern Paxson, and Nicholas Weaver. How to Own the Internet in your Spare Time. In Proceedings of the 11th USENIX Security Symposium, August 2002.

3. Fyodor. Remote OS Detection via TCP/IP Stack Fingerprinting. http://www.nmap.org/nmap/ nmap-fingerprinting-article.html, October 1998. 1, 6



Creative Commons Attribution Ця робота ліцензується відповідно до Creative Commons Attribution 4.0 International License
допомога Знайшли помилку? Виділіть помилковий текст мишкою і натисніть Ctrl + Enter
Конференції

Конференції 2024

Конференції 2023

Конференції 2022

Конференції 2021



Міжнародна інтернет-конференція з економіки, інформаційних систем і технологій, психології та педагогіки

Наукова спільнота - інтернет конференції

:: LEX-LINE :: Юридична лінія

Інформаційне суспільство: технологічні, економічні та технічні аспекти становлення