Введение к работе
Одна из самых серьезных задач, которую приходится решать специалистам по безопасности — это сбор сведений, позволяющих обнаружить атаки, понять, как они действуют и почему. Раньше суть киберугрозы пытались выяснить, исключительно анализируя программы, использованные для проникновения, после того как произошел инцидент, единственные данные, которыми располагали специалисты — это информация, оставшаяся во взломанной системе. К сожалению, она крайне скудна и мало что может сказать об угрозе в целом. Обнаружение атак на основе сетей приманок, в частности Honeypot, позволяет существенно расширить информацию об атаке и об атакующем.
Каждая страна имеет свою специфику с точки зрения разработки Honeypot. Распределение серверов Honeypot и их различный статус определяется правительством и объектом защиты. Небольшое количество специалистов по безопасности будет компенсироваться удаленным управлением Honeypot. Индонезия с точки зрения географии обладает своей спецификой. Индонезия - небольшая развивающаяся страна архипелага с более чем 2700 островами. Безопасность информационной технологии, особенно для правительства, является стимулирующим фактором развития. Данная диссертационная работа рассматривает проблемы, касающиеся автоматизации проектирования и развития сети Honeynet.
Honeypot - информационный ресурс системы, назначение которого заключается в установлении неправомочного или незаконного использования ресурса. Honeynet - сеть высокоуровневого взаимодействия Honeypot, которая имеет способность моделировать сети и возможность контролировать зарегистрированный, предельный и неправомочный доступ. Проект Honeynet был разработан для того, чтобы улучшить контроль опасных ситуаций. Команда исследователей создала целую компьютерную сеть и заполнила её своими датчиками. Затем эту сеть поместили в Internet, дали ей соответствующее название и наполнили соответствующим содержанием, а далее начали вести учет всего происходящего в этой сети. (Реальный ІР-адрес не публикуется и регулярно изменяется). Действия хакеров обычно записываются по мере того, как они совершаются, т.е. регистрируются попытки вторжений, когда они оказываются успешными, и предпринятые
после удачного взлома действия. Проект Honeynet предлагает иной подход: «заманивать» хакеров в систему и анализировать их действия с самого начала. Такой метод эффективно дополняет хорошо известные технологии обнаружения и предотвращения вторжений. Несмотря на достижения в этой области, процесс проектирования, настройки и обработки данных Honeynet до сих пор представляет сложную и недостаточно автоматизированную задачу.
Цель диссертационной работы и задачи исследования
Цель диссертации заключается в разработке адаптивной и проактивной защиты информационного ресурса на базе модели Honeypot для правительства Индонезии. Решаются следующие задачи:
Анализ методов проектирования Honeypot и её виртуализации на базе User Mode Linux
Разработка архитектуры и структуры Honeypot с использованием User Mode Linux.
Разработка средств автоматизации проектирования и программного обеспечения Honeypot, User Mode Linux, Honeyd, Honeywall, Snort Inline и конфигурации операционной системы.
Измерение и анализ трафика DoS атак Honeypot на основе временных рядов.
Объект исследования
Объектом исследования является модель Honeypot для защиты информационных ресурсов.
Предмет исследования
Предметом исследования являются методы анализа трафика атак на основе временных рядов и UML средств виртуализации.
Методы исследования
При решении поставленных задач использовались методы временных рядов, спектральный анализ, методы построения вычислительной сети, TCP/IP, Honeypot, Honeynet, виртуализация за счет User Mode Linux, Dos/DDos атак.
Достоверность полученных результатов
Достоверность обоснованных положений и полученных научных, теоретических и практических результатов в диссертации подтверждается корректным использованием математического аппарата статистики и анализа
временных рядов, проверкой результатов на основе полунатурного стенда; публикациями в реферируемых изданиях; участием в тематических конференциях.
Основные научные положения, выносимые на защиту
Средства создания моделирующего стенда.
Конфигурация стенда с использованием User Mode Linux.
Спектральный анализ при изучении сетевого трафика атаки.
Анализ и прогноз деревьев атак на основе временных рядов.
Научная новизна
Научная новизна результатов работы обусловлена следующими факторами:
Создание моделирующего стенда, отличающегося тем, что используется третье поколение Honeynet, подбором инструментов и методом обработки трафика;
Анализ трафиков атаки с использованием спектрального метода;
Выделение системы сбора и обработки трафика и анализ трафика DoS атаки Honeynet на основе временных рядов;
Использование Honeynet в виртуальной среде User Mode Linux (UML).
Практическая ценность результатов
Улучшение понимания угроз и уязвимости в Интернете, что позволяет лучше понять профили, методы и цели атак, а также разработать основные меры для смягчения этих угроз. Идентификация инструментов при помощи Honeynet.
Обеспечение организаций, заинтересованных в исследовании киберугроз, удобными и перспективными инструментами и методами.
Область применения результатов
Внедрение информационных технологических ресурсов.
Разработка моделирующих стендов.
Анализ и прогноз деревьев атаки на основе временных рядов.
Апробация работы.
Основные результаты работы докладывались и обсуждались на следующих российских и международных конференциях:
X Санкт-Петербургская Международная Конференция «Региональная информатика - 2006 (РИ-2006)», Санкт-Петербург, 2006.
V Санкт-Петербургская межрегиональная конференция «Информационная безопасность регионов России (ИБРР- 2007)», Санкт-Петербург, 2007.
XV Международный молодежный научный форум «Ломоносов-2008», Москва, 2008.
XI Санкт-Петербургская Международная Конференция, «Региональная информатика - 2007 (РИ- 2007)», Санкт-Петербург, 2007.
VI Санкт-Петербургская Межрегиональная Конференция «Информационная безопасность регионов России (ИБРР- 2008)», Санкт-Петербург, 2008.
Публикации
По теме диссертации опубликованы девять научных работ, из них четыре статьи и пять работ в сборниках трудов международных и межрегиональных научно-технических конференций.
Структура и объем диссертации.