автореферат диссертации по информатике, вычислительной технике и управлению, 05.13.19, диссертация на тему:Метод разработки средств автоматизации и проектирования сетей приманок

На правах рукописи

Хусни

Метод разработки средств автоматизации и проектирования сетей приманок

Специальность: 05.13.19 Методы и системы защиты информации, информационная безопасность

АВТОРЕФЕРАТ

диссертации на соискание ученой степени кандидата технических наук

Санкт-Петербург 2010

004604092

УДК 681.324

Работа выполнена на кафедре автоматизированных систем обработки информации и управления Санкт-Петербургского государственного электротехнического университета (СП6ГЭТУ-«ЛЭТИ») им. Ульянова (Ленина).

Научный руководитель:

Официальные оппоненты:

Ведущая организация:

доктор технических наук, профессор Воробьёв Владимир Иванович доктор технических наук, профессор Осовецкий Леонид Георгиевич Кандидат технических наук Нестерук Филипп Геннадиевич Санкт-Петербургский государственный Университет аэрокосмического приборостроения

Защита диссертации состоится Щ МлР^ 2010 г. в 15 часов 50 минут на заседании совета по защите докторских и кандидатских диссертаций Д 212.227.05 Санкт-Петербургского государственного университета информационных технологий, механики и оптики по адресу: 197101, Санкт-Петербург, Кронверкский пр., д. 49.

С диссертацией можно ознакомиться в библиотеке СПбГУ ИТМО.

Автореферат разослан 2010 г.

Ученый секретарь

диссертационного совета Д 212.227.05., к.т.н., доцент /¡[^^ Я Поляков В.И.

Общая характеристика работы Актуальность исследования

Одна из самых серьезных задач, которую приходится решать специалистам по безопасности — это сбор сведений, позволяющих обнаружить атаки, понять, как они действуют и почему. Раньше суть киберугрозы пытались выяснить, исключительно анализируя программы, использованные для проникновения, после того как произошел инцидент, единственные данные, которыми располагали специалисты — это информация, оставшаяся во взломанной системе. К сожалению, она крайне скудна и мало что может сказать об угрозе в целом. Обнаружение атак на основе сетей приманок, в частности Honeypot, позволяет существенно расширить информацию об атаке и об атакующем.

Каждая страна имеет свою специфику с точки зрения разработки Honeypot. Распределение серверов Honeypot и их различный статус определяется правительством и объектом защиты. Небольшое количество специалистов по безопасности будет компенсироваться удаленным управлением Honeypot. Индонезия с точки зрения географии обладает своей спецификой. Индонезия - небольшая развивающаяся страна архипелага с более чем 2700 островами. Безопасность информационной технологии, особенно для правительства, является стимулирующим фактором развитая. Данная диссертационная работа рассматривает проблемы, касающиеся автоматизации проектирования и развития сети Honeynet.

Honeypot - информационный ресурс системы, назначение которого заключается в установлении неправомочного или незаконного использования ресурса. Honeynet - сеть высокоуровневого взаимодействия Honeypot, которая имеет способность моделировать сети и возможность контролировать зарегистрированный, предельный и неправомочный доступ. Проект Honeynet был разработан для того, чтобы улучшить контроль опасных ситуаций. Команда исследователей создала целую компьютерную сеть и заполнила её своими датчиками. Затем эту сеть поместили в Internet, дали ей соответствующее название и наполнили соответствующим содержанием, а далее начали вести учет всего происходящего в этой сети. (Реальный IP-адрес не публикуется и регулярно изменяется). Действия хакеров обычно записываются по мере того, как они совершаются, т.е. регистрируются попытки вторжений, когда они оказываются успешными, и предпринятые

после удачного взлома действия. Проект Honeynet предлагает иной подход: «заманивать» хакеров в систему и анализировать их действия с самого начала. Такой метод эффективно дополняет хорошо известные технологии обнаружения и предотвращения вторжений. Несмотря на достижения в этой области, процесс проектирования, настройки и обработки данных Honeynet до сих пор представляет сложную и недостаточно автоматизированную задачу.

Цель диссертационной работы и задачи исследования

Цель диссертации заключается в разработке адаптивной и проактивной защиты информационного ресурса на базе модели Honeypot для правительства Индонезии. Решаются следующие задачи:

1. Анализ методов проектирования Honeypot и её виртуализации на базе User Mode Linux

2. Разработка архитектуры и структуры Honeypot с использованием User Mode Linux.

3. Разработка средств автоматизации проектирования и программного обеспечения Honeypot, User Mode Linux, Honeyd, Honeywall, Snort Inline и конфигурации операционной системы.

4. Измерение и анализ трафика DoS атак Honeypot на основе временных рядов.

Объект исследования

Объектом исследования является модель Honeypot для защиты информационных ресурсов.

Предмет исследования

Предметом исследования являются методы анализа трафика атак на основе временных рядов и UML средств виртуализации.

Методы исследования

При решении поставленных задач использовались методы временных рядов, спектральный анализ, методы построения вычислительной сети, TCP/IP, Honeypot, Honeynet, виртуализация за счет User Mode Linux, Dos/DDos атак.

Достоверность полученных результатов

Достоверность обоснованных положений и полученных научных, теоретических и практических результатов в диссертации подтверждается корректным использованием математического аппарата статистики и анализа

временных рядов, проверкой результатов на основе полунатурного стенда; публикациями в реферируемых изданиях; участием в тематических конференциях.

Основные научные положения, выносимые на защиту

1. Средства создания моделирующего стенда.

2. Конфигурация стенда с использованием User Mode Linux.

3. Спектральный анализ при изучении сетевого трафика атаки.

4. Анализ и прогноз деревьев атак на основе временных рядов.

Научная новизна

Научная новизна результатов работы обусловлена следующими факторами:

1. Создание моделирующего стенда, отличающегося тем, что используется третье поколение Honeynet, подбором инструментов и методом обработки трафика;

2. Анализ трафиков атаки с использованием спектрального метода;

3. Выделение системы сбора и обработки трафика и анализ трафика DoS атаки Honeynet на основе временных рядов;

4. Использование Honeynet в виртуальной среде User Mode Linux (UML).

Практическая ценность результатов

1. Улучшение понимания угроз и уязвимости в Интернете, что позволяет лучше понять профили, методы и цели атак, а также разработать основные меры для смягчения этих угроз. Идентификация инструментов при помощи Honeynet.

2. Обеспечение организаций, заинтересованных в исследовании киберугроз, удобными и перспективными инструментами и методами.

Область применения результатов

1. Внедрение информационных технологических ресурсов.

2. Разработка моделирующих стендов.

3. Анализ и прогноз деревьев атаки на основе временных рядов.

Апробация работы.

Основные результаты работы докладывались и обсуждались на следующих российских и международных конференциях:

1. X Санкт-Петербургская Международная Конференция «Региональная информатика - 2006 (РИ-2006)», Санкт-Петербург, 2006.

2. V Санкт-Петербургская межрегиональная конференция «Информационная безопасность регионов России (ИБРР- 2007)», Санкт-Петербург, 2007.

3. XV Международный молодежный научный форум «Ломоносов-2008», Москва, 2008.

4. XI Санкт-Петербургская Международная Конференция, «Региональная информатика - 2007 (РИ- 2007)», Санкт-Петербург, 2007.

5. VI Санкт-Петербургская Межрегиональная Конференция «Информационная безопасность регионов России (ИБРР- 2008)», Санкт-Петербург, 2008.

Публикации

По теме диссертации опубликованы девять научных работ, из них четыре статьи и пять работ в сборниках трудов международных и межрегиональных научно-технических конференций.

Структура и объем диссертации.

Работа состоит из введения, 4 глав, заключения, списка литературы, имеет 30 рисунков, 5 таблицы. Список литературы содержит 36 наименования.

Содержание работы

Во введении обосновывается актуальность темы, сформулированы цель, научная новизна, приведены сведения о практическом использовании полученных научных результатов и представлены основные положения, выносимые на защиту.

В первой главе проведен анализ методов проектирования Honeypot, классификация типов Honeypot, анализ организаций, исследующих и развивающих Honeypot в настоящее время. Приводятся история проекта, цель проекта, страны-участники, текущая работа и спецификации технического стенда Honeypot, сведения об организациях, занимающихся развертыванием распределенных Honeypot - Distributed Honeypot Project и исследовательских организаций Honeynet Research Alliance.

В работе рассматривается концепция технологии автоматизации проектирования Honeynet, архитектура виртуализации, виртуализированные

решения и применение виртуальной технологии с использованием User Mode Linux на заданной машине. Виртуализация включает технику, задающую прозрачную платформу для выбора программного обеспечения и операционной системы для моделирования взаимодействия программного обеспечения и аппаратуры на основе UML.

User Mode Linux (UML) виртуальная машина, структура которой представлена на рис.1, 2. Это ядро Linux, запускаемое как обычная программа (в пользовательском режиме - user mode).

Hardware

Рис.1. Структура User Mode Linux (UML)

Router Honey wall Honeypot Data Controll

User Mode Linux (UML)

Host kernel and Attacker

Hardware

Рис. 2. Структура построения Honeynet на основе User Mode Linux

Во второй главе приводится развернутое описание предложенной архитектуры Нопеупс!. Детально описаны архитектуры Нопеупе^ включая

поколения I, II и III, развитие существующих и доступных базовых архитектур. Предложены архитектурные решения (рис 3.), основанные на архитектуре III поколения, которые реализованы на стенде полунатурного моделирования.

Howywall Honeypot

Internet

Attaiker

Administrator Data Control/Data Capture

Рис. 3. Предлагаемая архитектура Honeynet на основе третьего поколения

Honeynet.

Далее рассмотрены основные компоненты Honeynet: Honeywall, Honeyd, Wireshark. В качестве программных средств рассматриваются элементы программного обеспечения, которые использованы в нашей работе на соответствующем этапе.

Основные элементы программного обеспечения включают:

1. Высоко- интерактивные и низко-интерактивные Honeypot

2. Обнаружение вторжения

3. Предотвращение вторжения

4. Захват собранных данных

5. Анализ данных

6. Средства, которые поддерживают защиту Honeypot

7. Средства, которые поддерживают инфраструктуру для транспорта захваченных данных.

Защита Honeypot строится на основе Honeywall, которая включает систему сетевой защиты и дополнительные инструментальные средства для сбора данных, обнаружения вторжения, предотвращения вторжения, и управления транспортными потоками Honeywall - Linux система на fedora 3. Так как система сетевой защиты не изменяет никаких IP пакетов,

функциональные возможности системы сетевой защиты прозрачны по отношению ко всем системам в сети.

Компонента Honeyd обеспечивает функциональные возможности низкоинтерактивной Honeypot, т.е. это полная сеть хостов, находящаяся под управлением различных операционных систем, которые могут моделироваться на отдельной системе Honeyd. Это моделирование также включает топологию маршрутизации сети. Поэтому нападающий верит, что он будет иметь доступ к полной сети. Honeyd наблюдает за всеми неиспользуемыми IP адресами одновременно. При попытке подключения к одному из них Honeyd автоматически определяет принадлежность неиспользуемого IP адреса и начинает исследовать взломщика, т.к. любая попытка подсоединения к неиспользуемому IP адресу считается неавторизованной или злонамеренной активностью. Услуги сети на Honeypot моделируются при использовании внешних программ, которые моделируют базовое поведение служб. Кроме того, трафик может быть передан отдаленному хосту, который управляется собственной системой. Например, используя FTP скрипт можно эмулировать wu-ftpd демон под Linux, или Telnet соединение.

Анализ сетевого трафика компьютерного приложения построен в работе на основе снифферного пакета Wireshark, который используется для измерения сетевого трафика, поиска неисправностей, улаживания конфликтов в сети, анализа программного обеспечения и развития протокола связи и обучения. Мы применили пакет Wireshark для поиска и устранения сбоев сети, анализа программного обеспечения и протоколов. На рис. 4 показан пример сбора данных с помощью Wireshark для случая атаки на протокол TCP, полученного на стенде полунатурного моделирования.

YMBootDeclO.pcap - Wireshark . '"л» щтят. щ ■ rmmmm

Fife Edit ^¿i e w Go Rapture Analyze Statistics Help

Hii m M :: p a ss et H ; ^ Ф Ф w й,, шш. m a.;®; E3 ; Ш И « & : Щ "■ 'ЛЗДЙДО ! -

Filter: | Expression, , Clear ¡ipply

No. , Time Source Destination Protocol Packet Packet Info ft

xuiu.iJ<i<.B<: i/i.xo.X ¿u O/.XS. У4 au . TCP M.fl/su » n«o IALKJ =.aq«nU3 t

2585 1040.'235S46 67.15 . 94 2586 1040.236116 "172.16.1 80 20 • 172.16.1 67.15.94 20 80 ■ - TCP .. •TCP . 419268 419322 15 06 Стер segment of a j-easrsembl 54'4-780: > bttp. [AtK] seq-60 5 >•

2588' 104.0 . 23 7 5 94 «7.15. 94 ZS89' 1040. 2J35S60 17,2.16.1 -80 • ; го - :.; 172.16.1.20 ¡57,15-. 94.80-- TCP .TCP . 420882 .'Л20936 1506 [TCP ■ segre.nt of a reassembl 54 4 780[ACK] Seq=605 t

.259! 1040,241019 67.15:94 2592 1040.241306 172.16.1 80 20 .- : -172.16.1 S7.15.94 20 .'■ - -So V" TCP - -rep 422496 422 550 15-06 [тер segment of' а геаззетЫ 54 4 780 .p- ftttp [ACK] Sect=S05 /

' 2 5 94 1040. 24 2769 ■67:15. 94- SO 172.16.1 20 ■ TCP 42411C 1506. [TCP. -segnfent of - a raa's^ethbl

259 5 1 040.24 3:024 1 72.16.1. 20; ... ■ §7.15.94 80 ;, ..-TCP . .424164 54 47,80 > ht.tp [ACK] senses /

2597'104.0. 24 518 8 67.15.94. SO 172.16.1 2"0 ' " TCP ■ 425724 150S [TCP. s,egnenr of a reassembl

2 598.. 104 0. 24 54 04 67.15 . 94'. 2599 1040. 24 5443 172.16.1. 80 2 0 1,72.16.1 ' -, - i 67.15.94- 20 во:;;,.;,:. HTTP TCP 426122 .426176 - X99 HTTP/1 д 200 ok <texi';/httn1 54 4 "80- » -http [л.с?с] зеф*в05 t

c. Frame 1 (177,l?yte5 on. «ire, 177 bytes captured)

!> ether net -n, src: paradigm_eO:20:90 CQO;i3:64:eO:2Q;aa)P ost: TosMba_04:af :eb '(00: oo: 3.&.J04: af =: eb) i> Internet Protocol, Src: 66.163:181.183 C66.163.181.183), DSt: 172:16,1.20 Cl?2.16.1.20)

t> Transmission control Protocol, src Port: mmcc C5O5.0), est' port:,'4,756 C4756), seq: 1, Ack : 1, ueri: 123

i; vahtw VW^K Wfl*;spnripr prnrnrn1 Frrhft-r "ini n i . -- ■ _. ' ': ■ ■ ■ ■ . •! - -._- ■ '

0000 00 00 39 04 af eb 00 13 64 eO 20 90 08 00 45 20 . . 9..... d. . . . E

0010 00 a3 05 78 40 00 31 06 9e 3e 42 a3 Ь5 b7 ac 10 ...x®.1. . >B..... —

0020 01 14 13 ba 12 94 C5 47 ad 84 el af 36 57 50 18 .......G .... 6WP.

0030 ff ff f 5 4a 00 00 59 4 d 53 47 00 Oe 00 00 00 67 ...J..YM sg.....g

004 0 00 98 00 00 00 01 00 41 4 С Id 31 30 34 CO 80 4e .......A L.104..N

0050 75 73 61 бе 74 61 72 61 20 43 68 61 74 3a 36 CO usantara chat: 6.

0060 80 31 30 35 CO 80 43 6f 6f 6c 20 61 6e 64 20 66 .105. .Co o] and f

0070 75 6e 6b 79 20 49 6e 64 6f бе 65 73 69 61 бе 73 unky ind onesians

0080 20 63 68 61 74 20 68 65 72 65 CO 80 31 30 38 CO chat, he re. .108.

Рис.4. Пример атаки (получен с помощью Wireshark).

В третьей главе описываются средства автоматизации проектирования Honeypot, в частности процессы установки и конфигурации User Mode Linux (UML) и принципы его работы. В этом разделе описываются также возможность создания сети многомашинных систем на одном компьютере, включая все сетевые программные протоколы, контроль данных в Honeynet, использующий программы IPTables и Snort.

В работе рассматривается конфигурация Honeyd в виде простого текстового файла, где определены виртуальные Honeypot и виртуальная топология сети. Каждая система сначала создана с create командой, затем система определяется и конфигурируется с add и set командами. После чего становится возможным задание по умолчанию для поддержанных сетевых протоколов block, reset или open.

Физическая система была конфигурирована с Honeyd в качестве хоста для трёх виртуальных машин. Каждая виртуальная машина должна работать по собственному IP адресу. Honeyd использует libpeap, чтобы прослушать и фиксировать трафик. Протокол arpd отвечает на запросы протокола определения запрашиваемых адресов IP. С помощью arpd обеспечивается также то, что весь трафик для виртуального Honeypot действительно дошел до физического интерфейса.

Пример конфигурации Honeyd:

annotate "AIX 4.0 - 4.2" fragment old create aix

set aix personality "AIX 4.0-4.2"

add aix tcp port 80 "sh scripts/web.sh"

add aix tcp port 22 "sh scripts/test.sh $ipsrc $dport"

set aix default tcp action reset

bind 10.0.0.2 aix

create linux

set linux personality "Linux 2.2.12 - 2.2.19"

add linux tcp port 23 "sh scripts/telnet.sh"

add linux tcp port 22 open

set linux uptime 112211

set linux default tcp action reset

set linux default udp action reset

bind 10.0.0.3 linux

create windows

set windows personality "Windows NT 4.0 Server SP5-SP6" set windows default tcp action reset set windows default udp action reset

add windows tcp port 80 "perl scripts/iisemulator-0.95/iisemul8.pl"

add windows tcp port 139 open

add windows tcp port 137 open

add windows udp port 137 open

add windows udp port 135 open

set windows uptime 42002

bind 10.0.0.4 windows

В этом разделе рассматривается также важный подход к построению защиты Honeypot на основе использования Honeywall. Описаны процессы, касающиеся проектирования, установки и конфигурации Honeywall. Honeywall построен на основе ядра Honeynet III и обеспечивает следующие главные задачи Honeynet:

1. Сбор данных о деятельности в пределах Honeynet.

2. Контроль данных: управление подозрительным трафиком.

3. Анализ данных: автоматизация работы оператора Honeynet.

Далее приводятся конфигурации Snort Inline для контроля трафика. В качестве примера рассмотрим следующее внесение в список исправлений, которые изменяют пакеты, содержащие определенную последовательность байт и указывающие на злонамеренное действие:

Snort_inline rule that modifies suspicious packets:

alert ip 5HONEYNET any -> $EXTERNAL_NET any (msg:"SHELLCODE xB6 stealth NOOP"; content:"IEB 02 EB 02 EB 02 1"; replace:"]00 00 99 99 00 00 I";)

Эта функциональная структура имеет следующее значение: Все IP пакеты, поступающие в «Honeynet» на любой порт (ip $HONETNET апу ->) с выходом на любой порт (-> SEXTERNAL NET апу) исследованы. Если подозрительный пакет обнаружен (content:"\ЕВ 02 ЕВ 02 ЕВ 02\"), то содержание будет заменено (replace:"\ 00 00 99 99 00 00\"), и сообщение будет занесено в файл системного журнала (msg: "SHELL-CODE х86 stealth NOOP"). Данная конфигурация атаки позволяет злоумышленникам нападать на другие системы, при этом, мы уверены, что все подобные нападения будут терпеть неудачу.

В четвертой главе рассматривается измерение трафика, его анализ и прогноз на основе временных рядов, в частности временной ряд участка Оо8 атак. Временные ряды анализируются на базе спектрального анализа, включающего спектральную плотность, анализ мощности, анализ тренда и прогноз атак.

Оценка спектра мощности по частоте получается путем усреднения значений

21П + 1 ^.Гт

Спектральный анализ позволяет на основе временного ряда получить частотные характеристики, спектральную плотность и др. характеристики. Общие свойства сети пакетной передачи трафика интенсивно исследовались в течение многих лет, для чего применялись различные методы анализа. Большинство исследований опирались на типовые пакеты и сквозную регистрацию. Наше рассмотрение ограничивалось рассмотрением сетевого трафика при наличии атаки и его сравнением с чистым трафиком (без атаки) рис 5,6 и 7.

Time Series Plot of Y(vJBot_Ori

600 8GQ

Time (seconds)

Рис. 5. Представление временных рядов трафика с DoS атаками и без них.

х 106 Periodogram of YMBo!_Ori

- Time Series/YMBol Ori

1S

Freq (cy.c/second)

Рис. 6. Периодограмма пакета трафика с атаками.

В диссертационной работе предложено использование Нопеуро! в грид-системах. Приведен сценарий работы системы безопасности грид-узла в случае запроса от пользователя на выполнение задания.

В заключении рассматривается база для дальнейших разработок систем безопасности, которая может отправной точкой развития в Индонезии научно-исследовательского проекта Нопеупе!. В процессе работы над диссертацией были разработаны стенд полунатурного моделирования, пользовательский интерфейс, а также набор инструментов, направленных на обнаружение и анализ возможных угроз безопасности. Адаптированный Нопеупе! может стать альтернативным вариантом защиты в целях снижения количества работы администратора. Также в будущем, при развитии и дальнейшей разработке проекта, будет рассмотрена и загрузка Нопеупе!. НопеурсЛ может использоваться для сбора информации относительно нападавших или других угроз. Проект Нопеупе! будет осуществлен в разных городах. Поэтому архитектура должна быть стандартной, чтобы упростить обслуживание и удаленное управление.

Основные результаты работы

1. Разработаны анализ методов проектирования Honeypot и её виртуализации на базе User Mode Linux.

2. Разработаны архитектуры и структуры Honeypot с использованием User Mode Linux.

3. Разработаны средства автоматизации проектирования и программного обеспечения Honeypot, User Mode Linux, Honeyd, Honeywall, Snort Inline.

4. Разработаны методы измерения и анализа трафика DoS атак Honeypot на основе временных рядов.

Список работ, опубликованных по теме диссертации:

1. Husni, Network Architecture of Honeynet Model to the Government of Indonesia // X Санкт-Петербургская Международная Конференция «Региональная информатика - 2006 (РИ-2006)», с 62., (2006 г., Санкт-Петербург).

2. Husni, Honeynet Model for the Government of Indonesia // V Санкт-Петербургская межрегиональная конференция «Информационная безопасность регионов России (ИБРР- 2007) », с 103., (2007 г., Санкт-Петербург).

3. Хусни, Управление информационной безопасностью страны Индонезия на "Honeypot" // XV Международный молодежный научный форум «Ломоносов-2008», ISBN: 978-5-91579-003-1, (2008г., Москва).

4. Хусни, Проектирование и разработка виртуального Honeypot на основе User Mode Linux (UML) // XI Санкт-Петербургская Международная Конференция, «Региональная информатика - 2008 (РИ- 2008)»,с 304, (2008г., Санкт-Петербург).

5. Хусни, Защита информационного ресурса с помощью «Honeypot» // V Санкт-Петербургская Межрегиональная Конференция «Информационная безопасность регионов России (ИБРР- 2007)», с 199 , (2008г., Санкт-Петербург).

6. Хусни, С. В. Афанасьев, Формирование и управление распределенной сетью Нопеупй-Нопеуро! // Программируемые инфокоммуникационные технологии, с 72-75, (2008г., Москва).

7. Хусни, С. В. Афанасьев, Управление информационной безопасностью страны Индонезия на "НопеуроГ // Информационно-измерительные и управляющие системы № 10, с 72-75, (2008г., Москва).

8. Хусни, С. В. Афанасьев, Архитектура и моделирование Нопеупй // Журнал «Проблемы информационной безопасности. Компьютерные системы», с 14-21 , (2009г., Санкт-Петербург).

9. Хусни, Анализ трафика сети «НопеуроЬ> на основе спектрального метода // Труды СПИИРАН, выпуск 7, с 177-180, (2008г., Санкт-Петербург).

Подписано в печать 10.02.10. Формат 60*84 1/16. Бумага офсетная. Печать офсетная. Печ. л. 1,0. Тираж 100 экз. Заказ 6.

Отпечатано с готового оригинал-макета в типографии Издательства СПбГЭТУ "ЛЭТИ"

Издательство СПбГЭТУ "ЛЭТИ" 197376, С.-Петербург, ул. Проф. Попова, 5

Введение.

1. Анализ методов проектирования Honeypot.

1.1. Honeypot.

1.1.1. Исследования работы Honeypot.

1.1.2. Типы Honeypot.

1.1.2.1. Назначение/цель Honeypot.

1.1.2.1.1. Исследовательский Honeypot.

1.1.2.1.2. Промышленный Honeypot.

1.1.2.2. Классификация Honeypot по уровню взаимнодействия

1.1.2.2.1. Honeypots высокого уровня.

1.1.2.2.2. Honeypots среднего уровня.

1.1.2.2.3. Honeypot низкого уровня.

1.1.2.3. Классификация honeypot по способам реализации

1.1.2.3.1. Реальный honeypots.

1.1.2.3.2. Виртуальный honeypots.

1.1.2.4. Применение honeypots.

1.1.2.4.1. Предотвращение атак.

1.1.2.4.2. Обнаруживание атак.

1.1.2.4.3. Реакция на атаки.

1.1.2.5. Генерация дополнительных нереальных имен с помощью

Honeytoken.

1.1.3. Honeynet - сеть honeypots. v

1.1.3.1. Определение Honeynet.

1.1.3.2. Причины создания и развития Honeynet.

1.1.3.3. Значение Honeynet.1.

1.1.3.4. Архитектура Honeynet.

1.1.3.4.1. Сбор данных.

1.1.3.4.2. Объединение данных.

1.1.3.4.3. Анализ данных.

1.1.3.5. Типы Honeynet.

1.1.3.5.1. Первое поколение honeynet.

1.1.3.5.2. Второе поколение honeynet.

1.1.3.5.3. Третье поколение honeynet.

1.1.3.5.4. Четвертое поколение honeynet.

1.1.3.5.5. Распределенный honeynet.

1.1.3.5.6. Виртуальный Honeynet.

1.1.3.5.7. Гибридный honeynet.

1.2.Проект Honeynet и стран участников.

1.2.1. Проект honeynet.it

1.2.2. Цели проекта.

1.2.3. Страны-участники.

1.3.Распределение Honeypot проектты.

1.3.1. Физический распределенный honeynet.

1.3.2. Фермы honeypot.:.

1.4.Виртуализции машины honeynet.

1.4.1. Концепции и технологии.

1.4.2. Архитектура виртуализции.

1.4.3. Концепции и технологии "User Mode Linux" (UML) . . 46 2. Архитектура и Разработка Модели

2.1. Факторы, значимые для реализации honeypot.

2.1.1. Существующая архитектура honeynet.

2.1.2. Архитектура и разработка контроля данных.

2.1.3. Архитектура и разработка сбора данных.

2.1.4. Архитектура и разработка объединение данных.

2.1.5. Архитектура и разработка анализ данных

2.1.6. Распределенный honeynet

2.1.7. Виртуальный honeynet.

2.1.7.1. Замкнутый виртуальный Honeynet

2.1.7.2. Гибридные виртуальные Honeynet.

2.1.8. Гибридный Honeynet.

2.1.9. Концепции и технологии Honeyclient.

2.2.Исследование доступных инструментов.

2.2.1. Защита Honeynet средставами Honey wall.

2.2.2. Выполнение Honeypot, использующий Honeyd.

2.2.3. Сбор и контроль данных с использовании Wireshark

2.2.4. Сбор и контроль данных с использовании Snort IDS и

Snort-Inline.

2.2.5. Другие инструменты.

2.3. Разработка Honeypot

3. Разработка средств автоматизации проектирования и программного обеспечения honeynet.

3.1. Описание исследуемой модели.

3.2. "User Mode Linux" (UML) процессы установки иопределение конфигурации.

3.2.1. Регистрация данных при помощи tty.

3.2.2. Honeypotprocfs.

3.3. Конфигурация Honeyd.

3.4. Конфигурация Honeywall.

3.4.1. Введение в ROO CDROM.

3.4.2. Конфигурация Snort Inline.

3.4.3. Рассмотрение для виртуальной окружающей среды машины

3.4.4. Сбор данных.

3.4.5. Контроль данных.

4. Измерение трафика.

4.1 .Понятие Dos и DdoS атак.

4.1.1. Характеристика Dos и DDoS-атак.

4.1.2. Типовой сбор данных DoS.

4.1.3. Типовой сбор данных Dos атак.

4.2. Анализ спектрала и временных рядов DoS атак.

4.2.1. Спектральная плотность и Анализ мощности.!.'.'

4.2.2. Анализ тренда и прогноз атак.

4.2.2.1. ARMA.

4.2.2.2. ARIMA.

4.3 .Honeypot в распределенных системах.

4.3.1. Распределенные вычислительные среды.

4.3.2. Распределенная honeypot для безопасности сети.

4.3.3. Реализация распределенной honeypot.

Актуальность исследования

Одна из самых серьезных задач, которую приходится решать специалистам по безопасности — это сбор сведений, позволяющих обнаружить атаки, понять, как они действуют и почему. Раньше суть киберугрозы пытались выяснить, исключительно анализируя программы, использованные для проникновения, после того как произошел инцидент, единственные данные, которыми располагали специалисты — это информация, оставшаяся во взломанной системе. К сожалению, она крайне скудна и мало что может сказать об угрозе в целом. Обнаружение атак на основе сетей приманок, в частности Honeypot, позволяет существенно расширить информацию об атаке и об атакующем.

Каждая страна имеет свою специфику с точки зрения разработки Honeypot. Распределение серверов Honeypot и их различный статус определяется правительством и объектом защиты. Небольшое количество специалистов по безопасности будет компенсироваться удаленным управлением Honeypot. Индонезия с точки зрения географии обладает своей спецификой. Индонезия - небольшая развивающаяся страна архипелага с более чем 2700 островами. Безопасность информационной if технологии, особенно для правительства, является стимулирующим фактором развития. Данная диссертационная работа рассматривает проблемы, касающиеся автоматизации проектирования и развития сети Honeynet.

Honeypot - информационный ресурс системы, назначение которого заключается в установлении неправомочного или незаконного использования ресурса. Honeynet - сеть высокоуровневого взаимодействия Honeypot, которая имеет способность моделировать сети и возможность контролировать зарегистрированный, предельный и неправомочный доступ. Проект Honeynet был разработан для того, чтобы улучшить контроль 9 опасных ситуаций. Команда исследователей создала целую компьютерную сеть и заполнила её своими датчиками. Затем эту сеть поместили в Internet, дали ей соответствующее название и наполнили соответствующим содержанием, а далее начали вести учет всего происходящего в этой сети.

Реальный IP-адрес не публикуется и регулярно изменяется). Действия хакеров обычно записываются по мере того, как они совершаются, т.е. регистрируются попытки вторжений, когда они оказываются успешными, и предпринятые после удачного взлома действия. Проект Honeynet \f предлагает иной подход: «заманивать» хакеров в систему и анализировать их действия с самого начала. Такой метод эффективно дополняет хорошо известные технологии обнаружения и предотвращения вторжений.

Несмотря на достижения в этой области, процесс проектирования, настройки и обработки данных Honeynet до сих пор представляет сложную и недостаточно автоматизированную задачу.

Цель диссертационной работы и задачи исследования

Цель диссертации заключается в разработке адаптивной и проактивной защиты информационного ресурса на базе модели Honeypot для if правительства Индонезии. Решаются следующие задачи:

Заключение

Основной базой для дальнейших разработок систем безопасности может стать развитие в Индонезии научно-исследовательской работы Honeynet. В процессе работы был разработан проект пользовательского интерфейса, а также набор инструментов, направленных .на обнаружение и анализ возможных угроз безопасности. Адаптированный Honeynet может стать альтернативным вариантом защиты b целях снижения количества' работы

Гл. , администратора. Также в будущем, при развитии и дальнейшей разработке проекта, будет рассмотрена и загрузка honeynet.

В этой статье представлен honeypot в технологии для правительства Индонезии. Honeypot используется, чтобы собирать информацию г ■ ' • t/ относительно ■ нападавших или других угроз. Несколько доступных инструментов будут оценены и осуществлены. Проект honeypot будет осуществлен в разных городах. Поэтому > архитектура должна быть стандартной, чтобы упростить обслуживание. Будет осуществляться утдаленное управление. , ' 1

Традиционные honeynet были развиты с учетом использования физических систем в сети, содержащей виртуальные машины для контроля и сбора отчетов о регистрации от honeypot, на основе которыхтрудно формировать honeynet и развертывать дополнительные ресурсы для г/ наблюдения. Применяя User Mode Linux (UML) - особый вид виртуальной машины -можно легко модифицировать и автоматизировать разработку Honeynets.

1. The Honeynet Project, Know Your Enemy: Learning about security threats // Addison-Wesley, 2004.

2. Provos, Niels. Holz, Thorsten.,Virtual Honeypots*: From Bootnet Tracking to1.trusion Detection // Addison Wesley, 2007/

3. Официальных сайт The Honeynet Project •// код доступа: . http://www.honeynet.org/misc/project.html

4. Официальных сайт Security Focus // код доступа: http://www.securityfocus.eom/infocus/l 713

5. Dike, Jeff. User Mode Linux, Prentice Hall,.2006.

6. Википедия // код дocтyпa:http://ru.wikipedia.org/wiki/Bиpтyaлизaция

7. Официальных сайт Distributed Honeynets // код доступа: http://distributed.honeynets.org/introduction.php1 i

8. Официальных сайт National Instruments //.код доступа:http ://zone .ni. com/ de vzone/c da/tut/p/id/8708 ,

9. Официальных сайт The Honeynet Project // код доступа: http://old.honeynet.org/papers/honeynet/

10. Официальных сайт User Mode Linux сайт // код доступа: http://user-mode-linux.sourceforge.net/old/ttylogging.html t11. Официальныхсайт Xlstat // код ' доступа:http://www.xlstat.com/en/support/tutorials/arima.htm

11. Официальных сайт Engineering Statistics ' Handbook // код доступа:http://www.itl.nist.gov/div898/handbook/eda/section3/spectrum.htm

12. Официальных сайт википедия // код доступа: http ://ru. wikipedia. о^^кл/МоделиА11МА

13. Официальных сайт научно-образавательны портал // код доступа: http ://chaos .ssu.runnet.ru/kafedra/eduwork/textbook/khovanovs01/node20.htmlи

14. Kirchgassner, Gebhard. Wolters, Jurgen., Introduction to Modern Time Series Analysis // Springer, 2007.

15. Hamilton, James. D., Time Series Analysis // Princeton University Press, 1994.

16. Piestley, M. В., Spectral Analysis and Time Series, Volume 1 // Academic Press, 1981.i/1

17. Mokube, Iyatiti. Ad&ms, Michele., Honeypots : Conceps, Approaches, and Chellenges // ACM SE, 2007.

18. Wei Ren, Hai Jin., Honeynet based distributed adaptive network forensics andiactive real time investigation // ACM Symposium on Applied Computing, 2005.

19. Cheng, Chen-Mou. Kung, H.T. Tan, Koan-Sin., Use of Spektral Analysis in Defence Against DoS Attacks // Proceedings of IEEE GLOBECOM 2002.'

20. Searchsecurity.com, botnet Электронный ресурс. / Definition //http://searchsecurity.techtarget.com/sDefinition/0„sidl4gcil 030284,00.html> (по состоянию на 04.02.2009).

21. Chinese Honeynet Project, Status Report 25 June 2007 Электронный ресурс. // < http:// www.honeynet.org.cn/ index.php?option=comcontent& task=view&id=80&Itemid=33>.i

22. Ланс Спитцнер., Honeynet Project: ловушка для хакеров, Электронный ресурс. // <http://www.citforum.ru/seeurity/internet/honeynet/>

23. The Honeynet Project, Know Your Enemy: Statistics // <http://old.honeynet.org/papers/stats/>, 2001.

24. Yang, Geng. Dai, Yumping., A Distributed Honeypot System for Grid Security // The Natural Science Foundation of Jianghu Province.

25. Hussain, Aleflya. Hfeidermann, John. Papadopoulos, Christos., A Framework for Classifying Denial of Service Attacks // ISI-TR-2003-569, 2003.

26. Marty, Raffael., Applied Security Visualization // Addison-Wesley, 2008.i

27. Beale, Jay., Snort 2.1 Intrusion Detection, Second Edition // Syngress, 2004. 30.0rebaugh, Angela D., Biles, Simon., Babbin, Jacob., Snort Cookbook // O'Reilly Media, 2005.

28. Archibald, Neil., Ramirez, Gilbert., Rathaus, Noam., Nessus, Snort, & Ethereal Power Tools: Customizing Open Source Security Applications (Jay Beale's Open Source Security) // Syngress, 2005.

29. The Honeynet Project, Know Your Enemy: Difining Virtual Honeynet, Differenttypes of Virtual Honeynets, Электронный ресурс. // 1http://old.honeynet.org/papers/virtual/ >, 2003.i

30. Clarke, Justin., Dhanjani, Nitesh., Network Security Tools // O'Reilly, 2005.

31. The Honeynet Project & Research Alliance., Know Your Enemy: Tracking Botnets UML Электронный ресурс. // <http://old.honeynet.org/papers/virtual/ >, 2002.

32. Lockhart, Andrew., Network Security Hacks: Tips & Tools for Protecting Your Privacy, 2nd Edition // O'Reilly Media, 2006.

33. Vacca, John R., Computer Forensics: Computer Crime Scene Investigation // Charles River Media, 2002. 1t7