Современные информационные технологии/Информационная безопасность

Петренко А.Б., Шмайденко М.С.

Національний авіаційний університет, Україна

КЛАСИФІКАЦІЙНІ ОЗНАКИ HONEYPOT

Вступ. Зі зростанням популярності Інтернету виникає небезпека розголошення персональних даних, важливих корпоративних ресурсів, державних таємниць та іншої секретної інформації. Щодня хакери піддають загрозі ці ресурси, намагаючись одержати до них доступ за допомогою спеціальних атак.

Актуальність. З кожним днем проблема захисту інформації у комп’ютерних мережах постає все більш гостро. Наявність вразливостей та зростання кількості загроз викликає необхідність створення засобів надійного  забезпечення  захисту інформації.

Постановка завдання. Кількість атак у комп’ютерних мережах постійно зростає. Для захисту інформації будуються системи захисту інформації. Honeypot розширює і доповнює архітектуру системи захисту.

Мета роботи. Провести аналіз класифікаційних ознак Honeypot.

Викладення матеріалу. Технологія Honeypot - ресурс безпеки, призначення якого полягає в тому, щоб стати дослідженим або зазнати нападу. Мета Honeypot - бути дослідженим, атакованим або використаним зловмисником.

Спосіб проектування Honeypot, залежить від завдань, які він повинен вирішувати. За необхідності вивчення мотивації поведінки зловмисників, методів їх атак і засобів - будується складний Honeypot, який надає зловмисникові повноцінну операційну систему, з якої він буде взаємодіяти, і забезпечувати високий рівень протоколювання.

Для виявлення несанкціонованої активності (наприклад, сканування систем)  використовують простий Honeypot, який буде імітувати мінімальні можливості і операції серверів, записуючи лише команди взаємодії зі зловмисником.

Для виявлення мережевого хробака для аналізу - проектують гнучкий Honeypot, який буде взаємодіяти з хробаком, збираючи елементи його активності.

Ознаки, за якими класифікують засоби Honeypot:

–       інсталяція та налаштування,

–       використання та підтримка;

–       збір даних;

–       рівень протоколювання;

–       рівень імітації;

–       рівень ризику.

Інсталяція та налаштування - характеризує час і зусилля при інсталяції та налаштуванні Honeypot. Таким чином, чим складніший Honeypot і чим ширший спектр його завдань, тим більші дані параметри. Подальше збільшення функціональності, яка надається зловмисникові, вимагає встановлення і настроювання більшої кількості серверів і вимагає здатності обробки більшого числа команд.

Процес використання та підтримки - характеризує час і зусилля при використанні і підтримці Honeypot після його інсталяції та налаштування. Як наслідок -  чим вища функціональність Honeypot, тим складніше його використання, і тим більше часу і зусиль вимагає його підтримка. Простий процес використання і підтримки означає мінімальну кількість часу, необхідного для підтримки засобу, а також простоту у використанні.

Середній рівень додає в процес використання додаткові дії, спрямовані на налаштування Honeypot в процесі функціонування, необхідність участі адміністратора для коригування поведінки і т.д. Складний рівень включає в себе необхідні дії у використанні і подальшій підтримці Honeypot, як оновлення програмного забезпечення, відновлення оточення для подальшого дослідження після того, як була проведена атака.

Збір даних - характеризує обсяг даних, який Honeypot може зібрати про зловмисника і його активність. Обсяг даних залежить від ролі Honeypot. Якщо він виступає спеціально підготовленою операційною системою, то даних про зловмисника і його дії буде зібрано більше, ніж, якщо Honeypot лише імітує системний сервіс.

Рівень протоколювання - характеризує ступінь деталізації, з якою буде виконано протоколювання. Чим вище рівень протоколювання, тим більшу деталізацію мають записи протоколу програми. Низький рівень протоколювання визначається невеликим рівнем деталізації зібраних даних. Як правило, даним рівнем володіють засоби Honeypot слабкої взаємодії, які записують тільки IP-адреса джерела взаємодії і дані, які надходять від зловмисника.

Середній рівень протоколювання включає в себе протоколювання обох сторін взаємодії, а також додаткові дані: конкретний час отримання даних, ідентифікатори взаємодій і т.д. Високий рівень протоколювання мають Honeypot сильної взаємодії. Такий Honeypot протоколює всі події, що відбуваються в системі при взаємодії з порушником.

Рівень імітації - характеризує ступінь імітації серверу. Простий рівень імітації передбачає практично повну відсутність підтримки функціональності імітованого серверу (наприклад, можливість виводити тільки вітальне повідомлення при з'єднанні).

Середній рівень -  це досить детальна імітація серверу, з урахуванням особливостей його роботи. Високий рівень імітації передбачає повну реалізацію всіх його функціональних можливостей  (емуляція).

Рівень ризику - характеризує ступінь ризику при використанні Honeypot. Чим більше функціональних можливостей надає Honeypot, тим більша ймовірність використання його для атаки інших систем або серверів.

Література:

1.                   Lance Spitzner. Dynamic Honeypots.

2.     Lance Spitzner. Honeypots: Tracking Hackers. Addison Wesley.