Honeypot-системы были разработаны для поиска и изучения действий злоумышленников в скомпрометированной системе. Термин honeypot используется для системы, которая была настроена с намерением быть скомпрометированной (поэтому обычно содержит более старое ПО с уязвимостями безопасности либо имеет дыры в безопасности, связанные с неправильной настройкой ПО) и для получения информации о методах и инструментах злоумышленника.

Honeypot-система может снизить количество ложных срабатываний, выдаваемых другими средствами защиты информации, внедренными в систему, такими как IDS/IPS-си-стемы, различные антивирусы. Это делает чрезвычайно эффективным использование таких систем для обнаружения атак. Организации, которые могут регистрировать тысячи предупреждений в день с использованием традиционных технологий, будут регистрировать только сто предупреждений с помощью honeypot-систем. Honeypot, с другой стороны, могут быть легко использованы для выявления и захвата новых, более изощренных атак, придуманных сообществом черных хакеров. Honeypot могут легко обнаружить новые атаки, потому что любое действие против такой системы является аномалией. Таким образом, honeypot можно использовать для сбора, управления и анализа большего количества данных об атаках.

Honeypot-система также может быть использована для получения информации о хакерской деятельности в рамках определения методов работы злоумышленников и, как результат, становится превентивной мерой против реально защищенной системы. На ранних этапах хакер сканирует сеть для поиска уязвимых компьютеров, в результате чего обнаруживает приманку, которая намеренно уязвима для привлечения атак. Если в дальнейшем злоумышленник попытается подключиться к honeypot, система немедленно обнаружит и зафиксирует действие, потому что обычный пользователь не должен взаимодействовать с системой.

В представленной работе были рассмотрены теоретические аспекты honeypot-систем, представлены классификации honeypot по различным основаниям. Представлена архитектура honeypot-системы, предназначенной для исследования поведения злоумышленника после его проникновения внутрь корпоративной системы, как инструмент реализации комплексной эффективной защищенной системы организации.

1.      Diebold P., Hess A., Schäfer G. A honeypot architecture for detecting and analyzing unknown network attacks // 14th Kommunikation in Verteilten Systemen (KiVS 2005), Kaiserslautern, 28. Februar – 3. Ma?rz. – Berlin; Heidelberg: Springer, 2005. – P. 245-255.

2.      An experimental study of SSH attacks by using honeypot decoys / E. Kheirkhah, S.M.P. Amin, H.A.J. Sistani, H. Acharya // Indian Journal of Science and Technology. – 2013. – Vol. 6. – P. 5567–5578.

3.      Tiwari R., Jain A. Design and analysis of distributed honeypot system // International Journal of Computer Applications. – 2012. – Vol. 55, N 13. – P. 20–23.

4.      Mahajan S., Adagale A.M., Sahare C. Intrusion detection system using Raspberry PI Honeypot in network security // International Journal of Engineering Science and Computing. – 2016. – Vol. 6. – P. 2792–2795.

5.      Provos N., Holz T. Virtual honeypots: from botnet tracking to intrusion detection. – Upper Saddle River: Addison-Wesley, 2007.

6. Hack like no one is watching: using a honeypot to spy on attackers / L. Liu, K. Mahar, C. Virdi, H. Zhou // MIT Computer and Network Security Term Projects, 2016. – URL: http://docplayer.net/21979034-Hack-like-no-one-is-watching-using-ahoneypot-to-spy-on-attackers.html (accessed: 30.05.2021).

7. Applying deception mechanisms for detecting sophisticated cyber attacks / A Research Paper by TopSpin Security. – October, 2016. – URL: https://library.cyentia.com/report/report_002229.html (accessed: 30.05.2021).

8. Robin B., Cukier M. An evaluation of connection characteristics for separating network attacks // International Journal of Security and Networks. – 2009. – Vol. 4, iss. 1–2. – P. 110–124. – DOI: 10.1504/IJSN.2009.023430.

9. Jones H.M. The restrictive deterrent effect of warning messages on the behavior of computer system trespassers. PhD Thesis / University of Maryland. – College Park, 2014.

10. Restrictive deterrent effects of a warning banner in an attacked computer system / D. Maimon, M. Alper, B. Sobesto, M. Cuckier // Criminology. – 2014. – Vol. 52, iss. 1. – DOI: 10.1111/1745-9125.12028.

11. An experimental study of SSH attacks by using Honeypot Decoys / E. Kheirkhah, S.M.P. Amin, H.A. Sistani, H.S. Acharya // Indian Journal of Science and Technology. – 2013. – Vol. 6, iss. 12. – P. 5567?5578.

12. Jiang X., Wang X., Xu D. Stealthy malware detection through VMM-based "Out-of-the-box" semantic view reconstruction // Proceedings of the 14th ACM Conference on Computer and Communications Security (CCS, Alexandria, USA). – New York: ACM Press, 2007. – DOI: 10.1145/1315245.1315262.

13. Jiang X., Wang X. "Out-of-the-box" monitoring of VM-based high-interaction honeypots // Proceedings of the 10th International Symposium on Recent Advances in Intrusion Detection (RAID, Gold Goast, Australia, 5?7 September 2007). – Heidelberg: Springer, 2007. – DOI: 10.1007/978-3-540-74320-0_11. – (Lecture Notes in Computer Science; vol. 4637).

14. Laurén S., Rauti S., Leppänen V. An interface diversified honeypot for malware analysis // Proceedings of the 10th European Conference on Software Architecture Workshops (ECSAW, Copenhagen, Denmark, 28 November ? 02 December 2016). – New York: ACM Press, 2016. – DOI: 10.1145/2993412.2993417.

15. Barros A. DLP and honeytokens. – 2007, August 27. – URL: http://blog.securitybalance.com/2007/08/dlp-and-honeytokens.html (accessed: 30.05.2021).

16. Sobesto B. Empirical studies based on honeypots for characterizing attackers behaviour. PhD Thesis / University of Maryland. – College Park, 2015.

17. Sentanoe S., Taubmann B., Reiser H.P. Virtual machine introspection based SSH honeypot // Proceedings of the 4th Workshop on Security in Highly Connected IT Systems, SHCIS, 19?22 June 2017, Neuchatel, Switzerland. – New York: ACM Press, 2017. – DOI: 10.1145/3099012.3099016.