СИСТЕМА ВИЯВЛЕННЯ АТАК З ВИКОРИСТАННЯМ HONEYPOT

12.10.2021 22:59

[1. Information systems and technologies]

Author: Жакун Г.А., студент 6 курсу, факультет інформаційних технологій та комп’ютерної інженерії, кафедра захисту інформації, Вінницький національний технічний університет, м. Вінниця; Лукічов В.В., к.т.н., старший викладач, факультет інформаційних технологій та комп’ютерної інженерії, кафедра захисту інформації, Вінницький національний технічний університет, м. Вінниця

В сучасному світі доволі часто проводять Bruteforce атаки і взлам пароля з допомогою соціальної інженерії. Незважаючи на десятиліття досліджень і досвіду, досі все ще не вдається створити безпечні комп'ютерні системи або навіть виміряти безпеку системи.

В результаті використання нововиявлених вразливостей часто проводять атаки нульового дня. Завдяки автоматизації експлуатації та масштабному глобальному пошуку вразливостей, супротивники часто можуть піти на компроміс невдовзі після того, як вразливості стали відомі [1].

Одним із способів завчасного попередження про нові вразливості є встановлення комп’ютерних систем у мережі з очікуванням, що буде проводитися проникнення. Ці системи не мають інших законних функцій, і кожна спроба підключитися до них є підозрілою. Дану систему називають Honeypot. Honeypot може працювати з будь-якою операційною системою та будь з якою кількістю послуг.

Налаштовані служби визначають місця, де противник може вибрати скомпрометувати систему. Honeypot з високою взаємодією імітує всі аспекти операційної системи, тоді як honeypot з низькою взаємодією імітують лише деякі частини, наприклад мережевий стек [2]. Також розрізняється фізичні і віртуальні honeypot. Фізичний honeypot існує як машина з відповідною IP-адресою в мережі, тоді як віртуальний honeypot розміщений на іншій машина, яка реагує на мережевий трафік, спрямований на віртуальний Honeypot. Віртуальні Honeypot приваблюють тим, що вони це роблять не потребує додаткових комп'ютерних систем. Використовуючи віртуальні honeypot, можна заповнити мережу з хостами, що працюють над різними операційними системами. Однак, щоб переконати супротивників у тому, що віртуальний honeypot працює під певною операційною системою, необхідно ретельно моделювати стек TCP/IP цільової операційної системи. По іншому є необхідність вміти підмінювати інструменти відбитків пальців стека TCP/IP, наприклад Xprobe [1] або Nmap [3].

Доволі часто Honeypot дає змогу тільки направити зловмисника в заздалегідь заготовлене середовище та дослідити його атаку. Також це дає змогу зрозуміти які способи та методи атаки були використані. Тільки дана методика не дає можливості виявити зловмисника а в окремих випадках Honeypot вдається розкрити. Тому було запропоновано об’єднати системи моніторингу для виявлення атак та Honeypot.

Рисунок 1 – Блок-схема виявлення атака з використанням Honeypot.

На рисунку 1 продемонстровано програмний модуль, який об’єднує Honeypot та систему виявлення атак. Перевіркою буде дії користувача, а також спеціальні файли, які не повинні бути відкриті або змінені Honeypot, додатково будуть використовуватися дані про особливості користувача. Функція блокування буде запускатися в тому випадку, коли Адміністратор не прийме рішення за певний період часу. В такому випадку навіть якщо зловмисник проникне в систему, буде можливість його виявити та прийняти дії, Honeypot буде надавати можливість дослідити атаки. Також зловмисник який виявить honeypot не буде очікувати підміни файлів в системі.

Висновком даного рішення є можливість виявити зловмисника в системі. Також ця система має викликати у зловмисника сумніви в тому чи інформація, яка буде скопійована або розкрита чи є інформація достовірна, і чи зловмисника не було розкрито. Дана система вирішує проблему Honeypot, коли виявляється підміна середовища або можливість відкривання користувачем.

Література:

1. Lance Spitzner. Honeypots: Tracking Hackers. Addison Wesley Professional, September 2002.

2. Stuart Staniford, Vern Paxson, and Nicholas Weaver. How to Own the Internet in your Spare Time. In Proceedings of the 11th USENIX Security Symposium, August 2002.

3. Fyodor. Remote OS Detection via TCP/IP Stack Fingerprinting. http://www.nmap.org/nmap/ nmap-fingerprinting-article.html, October 1998. 1, 6

Ця робота ліцензується відповідно до Creative Commons Attribution 4.0 International License

Знайшли помилку? Виділіть помилковий текст мишкою і натисніть Ctrl + Enter

Another articles in this section

Сonferences

Conference 2024

Information society: technological, economic and technical aspects of formation (issue 84) (18-19.01.2024)

Information society: technological, economic and technical aspects of formation (issue 85) (15-16.02.2024)

Information society: technological, economic and technical aspects of formation (issue 86) (12-13.03.2024)

Information society: technological, economic and technical aspects of formation (issue 87) (11-12.04.2024)

Conference 2023

Information society: technological, economic and technical aspects of formation (issue 74) (06-07.02.2023)

Information society: technological, economic and technical aspects of formation (issue 75) (06-07.03.2023)

Information society: technological, economic and technical aspects of formation (issue 76) (03-04.04.2023)

Information society: technological, economic and technical aspects of formation (issue 77) (09-10.05.2023)

Information society: technological, economic and technical aspects of formation (issue 78) (08-09.06.2023)

Information society: technological, economic and technical aspects of formation (issue 79) (06-07.07.2023)

Information society: technological, economic and technical aspects of formation (issue 80) (19-20.09.2023)

Information society: technological, economic and technical aspects of formation (issue 81) (11-12.10.2023)

Information society: technological, economic and technical aspects of formation (issue 82) (9-1.11.2023)

Information society: technological, economic and technical aspects of formation (issue 83) (7-8.12.2023)

Conference 2022

Information society: technological, economic and technical aspects of formation (issue 65) (8-9.02.2022)

Information society: technological, economic and technical aspects of formation (issue 66) (6-7.04.2022)

Information society: technological, economic and technical aspects of formation (issue 67) (11-12.05.2022)

Information society: technological, economic and technical aspects of formation (issue 68) (7-8.06.2022)

Information society: technological, economic and technical aspects of formation (issue 69) (4-5.07.2022)

Information society: technological, economic and technical aspects of formation (issue 70) (22-23.09.2022)

Information society: technological, economic and technical aspects of formation (issue 71) (18-19.10.2022)

Information society: technological, economic and technical aspects of formation (issue 72) (15-16.11.2022)

Information society: technological, economic and technical aspects of formation (issue 73) (08-09.12.2022)

Conference 2021

Information society: technological, economic and technical aspects of formation (Issue 55) (09.02.2021)

Information society: technological, economic and technical aspects of formation (Issue 56) (10.03.2021)

Information society: technological, economic and technical aspects of formation (issue 57) (13.04.2021)

Information society: technological, economic and technical aspects of formation (issue 58) (12.05.2021)

Information society: technological, economic and technical aspects of formation (issue 59) (08.06.2021)

Information society: technological, economic and technical aspects of formation (issue 60) (13.07.2021)

Information society: technological, economic and technical aspects of formation (issue 61) (15.09.2021)

Information society: technological, economic and technical aspects of formation (issue 62) (12.10.2021)

Information society: technological, economic and technical aspects of formation (issue 63) (11.11.2021)

Information society: technological, economic and technical aspects of formation (issue 64) (10.12.2021)

Congratulation from Internet Conference!

Рік заснування видання - 2011

СИСТЕМА ВИЯВЛЕННЯ АТАК З ВИКОРИСТАННЯМ HONEYPOT

Another articles in this section