O documento discute honeypots, que são sistemas computacionais criados para serem atacados e coletar informações sobre ataques de segurança. Ele explica o que são honeypots, seus níveis de interatividade e exemplos de ferramentas honeypot. Também descreve como honeypots podem extrair informações úteis sobre ataques de bases de dados, arquivos binários e registros de chamadas do sistema.
Honeypots: o que são, para que servem e como extrair informações
1. UNIVERSIDADE PRESBITERIANA MACKENZIE
Programa de Pós Graduação em Engenharia Elétrica
Laboratório de Computação Natural - LCoN
Honeypots: o que são, para que servem e
como extrair informações
Pedro H. Matheus
phmatheus@msn.com
2. UNIVERSIDADE PRESBITERIANA MACKENZIE
Programa de Pós Graduação em Engenharia Elétrica
Laboratório de Computação Natural - LCoN
• Agenda
• O que são Honeypots
• Para que servem
• Que informações podem ser extraídas ?
4. 4Setembro / 2013phmatheus@msn.com
• Honeypots são sistemas computacionais cujo
objetivo é ter falhas de segurança para serem
atacadas e exploradas
O que são Honeypots
6. 6Setembro / 2013phmatheus@msn.com
• Honeyd
– É um pequeno programa que cria hosts virtuais na
rede, os hosts podem ser configurados para executar
serviços arbitrarios, a suas caracteristicas podem ser
adaptadas para simularem certos sistemas
operacionais.
• SpamTrap
– É um servidor de e-mail criado não para comunicação
de e-mails mas, para ser explorado por spammers
para enviar e-mails, esse servidor não encaminha o e-
mail enviado para o destinatário, apenas armazena o
e-mail para analise posterior.
Baixa Interatividade
7. 7Setembro / 2013phmatheus@msn.com
• Dionaea
É uma evolução do Nepentes com suporte a IPV6
e um novo meio de se ampliar a base de
conhecimento que anteriormente era escrita em
c++ agora é escrita em python possibilitando que
uma gama maior de programadores criem e
expandam a base de conhecimento conforme
suas necessidades.
Média Interatividade
• Nepenthes
Nepenthes emula as vulnerabilidades para a coleta de
informações sobre potenciais ataques é utilizado uma base de
conhecimento sobre as falhas para interagir com
os atacantes, com o objetivo de obter o artefato malicioso.
8. 8Setembro / 2013phmatheus@msn.com
• Kippo
– Honeypot que simula o serviço de ssh, coletando
informações de ataques de brute-force, e
posteriormente os comandos enviados pelo
atacante.
https://code.google.com/p/kippo/
Média Interatividade
9. 9Setembro / 2013phmatheus@msn.com
• Qebek
– Modificação do QEMU para monitorar todas as
chamadas de sistema do Windows, permitindo
analisar, depurar e monitorar a execução de ataques e
de artefatos maliciosos.
• Sebek
– É um modulo do kernel instalado no Windows com o
proposito de coletar informações sobre os artefatos
maliciosos e os ataques contra os sistemas, ele
permite a coleta de informações desde as teclas
pressionadas até informações criptografadas.
Alta Interatividade
11. 11Setembro / 2013phmatheus@msn.com
• Uso dos dados de rede bruto para extração de
informações
• Estatística (Cukier et al. 2006)
• Associação (Ohrui et al. 2010)
• Agrupamento (Ghourabi et al. 2010)
• Correlação com SVM (Song et al. 2011)
• Longest Common Substring (Thakar et al. 2005)
• Redes Neurais MLP e KNN (Grégio et al. 2007)
Extração de informação de Honeypots
12. 12Setembro / 2013phmatheus@msn.com
• O que todos esses trabalhos trazem em
comum é que utilizam os dados de rede para
gerar as estatísticas, para efetuar o
agrupamento, para criar as assinaturas e os
padrões dos detectores de intrusão.
Extração de informação de Honeypots
23. 23Setembro / 2013phmatheus@msn.com
• M. Cukier, R. Berthier, S. Panjwani, and S. Tan, “A statistical analysis of attack data to separate
attacks,” in Dependable Systems and Networks, 2006. DSN 2006. International Conference on,
2006, pp. 383–392.
• M. Ohrui, H. Kikuchi, and M. Terada, “Mining association rules consisting of download servers from
distributed honeypot observation,” in Network-Based Information Systems (NBiS), 2010 13th
International Conference on, 2010, pp. 541–545.
• X. Tang, “The generation of attack signatures based on virtual honeypots,” in Parallel and
Distributed Computing, Applications and Technologies (PDCAT), 2010 International Conference on,
2010, pp. 435–439.
• A. Ghourabi, T. Abbes, and A. Bouhoula, “Data analyzer based on data mining for honeypot router,”
in Computer Systems and Applications (AICCSA), 2010 IEEE/ACS International Conference on, 2010,
pp. 1–6.
• J. Song, H. Takakura, Y. Okabe, and Y. Kwon, “Correlation analysis between honeypot data and ids
alerts using one-class svm,” Intrusion Detection Systems, In Tech, pp. 173–193, 2011.
• U. Thakar, S. Varma, and A. Ramani, “Honeyanalyzer–analysis and extraction of intrusion detection
patterns & signatures using honeypot,” in Proceedings of the Second International Conference on
Innovations in Information Technology, 2005.
• A. Grégio, R. Santos, and A. Montes, “Evaluation of data mining techniques for suspicious network
activity classification using honeypots data,” in Defense and Security Symposium. International
Society for Optics and Photonics, 2007, pp. 657 006–657 006.
• S. Kaiser, “Biclustering: Methods, Software and Application”, Munchen 2011, Disponível em:
http://edoc.ub.uni-muenchen.de/13073/1/Kaiser_Sebastian.pdf
Referências