Безопасность цифровых технологий

Honeypot как инструмент создания эффективной защищенной системы

Выпуск № 2 (101) Апрель - Июнь 2021

Авторы:

Архипова Анастасия Борисовна,

Каревский Данила Русланович

DOI: http://dx.doi.org/10.17212/2782-2230-2021-2-122-135

Скачать полный текст

Аннотация
Авторы
Список литературы

Аннотация

Honeypot-системы были разработаны для поиска и изучения действий злоумышленников в скомпрометированной системе. Термин honeypot используется для системы, которая была настроена с намерением быть скомпрометированной (поэтому обычно содержит более старое ПО с уязвимостями безопасности либо имеет дыры в безопасности, связанные с неправильной настройкой ПО) и для получения информации о методах и инструментах злоумышленника.

Honeypot-система может снизить количество ложных срабатываний, выдаваемых другими средствами защиты информации, внедренными в систему, такими как IDS/IPS-си-стемы, различные антивирусы. Это делает чрезвычайно эффективным использование таких систем для обнаружения атак. Организации, которые могут регистрировать тысячи предупреждений в день с использованием традиционных технологий, будут регистрировать только сто предупреждений с помощью honeypot-систем. Honeypot, с другой стороны, могут быть легко использованы для выявления и захвата новых, более изощренных атак, придуманных сообществом черных хакеров. Honeypot могут легко обнаружить новые атаки, потому что любое действие против такой системы является аномалией. Таким образом, honeypot можно использовать для сбора, управления и анализа большего количества данных об атаках.

Honeypot-система также может быть использована для получения информации о хакерской деятельности в рамках определения методов работы злоумышленников и, как результат, становится превентивной мерой против реально защищенной системы. На ранних этапах хакер сканирует сеть для поиска уязвимых компьютеров, в результате чего обнаруживает приманку, которая намеренно уязвима для привлечения атак. Если в дальнейшем злоумышленник попытается подключиться к honeypot, система немедленно обнаружит и зафиксирует действие, потому что обычный пользователь не должен взаимодействовать с системой.

В представленной работе были рассмотрены теоретические аспекты honeypot-систем, представлены классификации honeypot по различным основаниям. Представлена архитектура honeypot-системы, предназначенной для исследования поведения злоумышленника после его проникновения внутрь корпоративной системы, как инструмент реализации комплексной эффективной защищенной системы организации.

Ключевые слова: honeypot-система, информационная безопасность, киберугрозы, защищенная система, системы обнаружения вторжений, уязвимости CVE, среда виртуализации VMware с ОС Ubuntu, архитектура защищенной honeypot-системы

Список литературы

1. Diebold P., Hess A., Schäfer G. A honeypot architecture for detecting and analyzing unknown network attacks // 14th Kommunikation in Verteilten Systemen (KiVS 2005), Kaiserslautern, 28. Februar – 3. Ma?rz. – Berlin; Heidelberg: Springer, 2005. – P. 245-255.

2. An experimental study of SSH attacks by using honeypot decoys / E. Kheirkhah, S.M.P. Amin, H.A.J. Sistani, H. Acharya // Indian Journal of Science and Technology. – 2013. – Vol. 6. – P. 5567–5578.

3. Tiwari R., Jain A. Design and analysis of distributed honeypot system // International Journal of Computer Applications. – 2012. – Vol. 55, N 13. – P. 20–23.

4. Mahajan S., Adagale A.M., Sahare C. Intrusion detection system using Raspberry PI Honeypot in network security // International Journal of Engineering Science and Computing. – 2016. – Vol. 6. – P. 2792–2795.

5. Provos N., Holz T. Virtual honeypots: from botnet tracking to intrusion detection. – Upper Saddle River: Addison-Wesley, 2007.

6. Hack like no one is watching: using a honeypot to spy on attackers / L. Liu, K. Mahar, C. Virdi, H. Zhou // MIT Computer and Network Security Term Projects, 2016. – URL: http://docplayer.net/21979034-Hack-like-no-one-is-watching-using-ahoneypot-to-spy-on-attackers.html (accessed: 30.05.2021).

7. Applying deception mechanisms for detecting sophisticated cyber attacks / A Research Paper by TopSpin Security. – October, 2016. – URL: https://library.cyentia.com/report/report_002229.html (accessed: 30.05.2021).

8. Robin B., Cukier M. An evaluation of connection characteristics for separating network attacks // International Journal of Security and Networks. – 2009. – Vol. 4, iss. 1–2. – P. 110–124. – DOI: 10.1504/IJSN.2009.023430.

9. Jones H.M. The restrictive deterrent effect of warning messages on the behavior of computer system trespassers. PhD Thesis / University of Maryland. – College Park, 2014.

10. Restrictive deterrent effects of a warning banner in an attacked computer system / D. Maimon, M. Alper, B. Sobesto, M. Cuckier // Criminology. – 2014. – Vol. 52, iss. 1. – DOI: 10.1111/1745-9125.12028.

11. An experimental study of SSH attacks by using Honeypot Decoys / E. Kheirkhah, S.M.P. Amin, H.A. Sistani, H.S. Acharya // Indian Journal of Science and Technology. – 2013. – Vol. 6, iss. 12. – P. 5567?5578.

12. Jiang X., Wang X., Xu D. Stealthy malware detection through VMM-based "Out-of-the-box" semantic view reconstruction // Proceedings of the 14th ACM Conference on Computer and Communications Security (CCS, Alexandria, USA). – New York: ACM Press, 2007. – DOI: 10.1145/1315245.1315262.

13. Jiang X., Wang X. "Out-of-the-box" monitoring of VM-based high-interaction honeypots // Proceedings of the 10th International Symposium on Recent Advances in Intrusion Detection (RAID, Gold Goast, Australia, 5?7 September 2007). – Heidelberg: Springer, 2007. – DOI: 10.1007/978-3-540-74320-0_11. – (Lecture Notes in Computer Science; vol. 4637).

14. Laurén S., Rauti S., Leppänen V. An interface diversified honeypot for malware analysis // Proceedings of the 10th European Conference on Software Architecture Workshops (ECSAW, Copenhagen, Denmark, 28 November ? 02 December 2016). – New York: ACM Press, 2016. – DOI: 10.1145/2993412.2993417.

15. Barros A. DLP and honeytokens. – 2007, August 27. – URL: http://blog.securitybalance.com/2007/08/dlp-and-honeytokens.html (accessed: 30.05.2021).

16. Sobesto B. Empirical studies based on honeypots for characterizing attackers behaviour. PhD Thesis / University of Maryland. – College Park, 2015.

17. Sentanoe S., Taubmann B., Reiser H.P. Virtual machine introspection based SSH honeypot // Proceedings of the 4th Workshop on Security in Highly Connected IT Systems, SHCIS, 19?22 June 2017, Neuchatel, Switzerland. – New York: ACM Press, 2017. – DOI: 10.1145/3099012.3099016.

Для цитирования:

Архипова А.Б., Каревский Д.Р. Honeypot как инструмент создания эффективной защищенной системы // Безопасность цифровых технологий. – 2021. – № 2 (101). – С. 122–135. – DOI: 10.17212/2782-2230-2021-2-122-135.

For citation:

Arkhipova A.B., Karevskiy. Honeypot kak instrument sozdaniya effektivnoy zashishennoy systemi [Honeypot as a tool for creating an effective secure system]. Bezopastnost cifrovih technologiy = Digital security, 2021, no. 2 (101), pp. 122–135. DOI: 10.17212/2782-2230-2021-2-122-135.

Просмотров: 886

БЕЗОПАСНОСТЬ ЦИФРОВЫХ ТЕХНОЛОГИЙ

БЕЗОПАСНОСТЬ
ЦИФРОВЫХ ТЕХНОЛОГИЙ

Honeypot как инструмент создания эффективной защищенной системы

БЕЗОПАСНОСТЬ ЦИФРОВЫХ ТЕХНОЛОГИЙ

БЕЗОПАСНОСТЬЦИФРОВЫХ ТЕХНОЛОГИЙ

Honeypot как инструмент создания эффективной защищенной системы

БЕЗОПАСНОСТЬ
ЦИФРОВЫХ ТЕХНОЛОГИЙ