Defending against known and unknown attacks using a network of affined honeypots

Η ασφάλεια υπολογιστών θεωρείται ολοένα και περισσότερο μια κρίσιμη λειτουργία για την δια- τήρηση μιας αξιόπιστης, διαθέσιμης και έμπιστης δικτυακής υποδομής. Ιοί, ‘σκουλήκια’ (worms), ‘δούρειοι ίπποι’ (trojans), καταγραφείς πληκτρολογίου (keyloggers) και άλλοι τύποι κακόβουλου λογισμικού αποθαρρύνουν την αποτελεσματική χρήση του Διαδικτύου και ακρωτηριάζουν την δικτυακή υποδομή. Η εκθετική αύξηση του αριθμού των επιθέσεων και η εξέλιξη του τρόπου που εκτελούνται κάνουν επιτακτική την ανάγκη για πιο αποδοτικούς και ακριβείς μηχανισμούς ασφαλείας. Ενώ ο τομέας της έρευνας και ανάπτυξης έχει παράγει δεκάδες προϊόντα ασφαλείας, όπως αντιπυρικά τείχη (firewalls), αντιϊκά συστήματα (antivirus) και συστήματα ανίχνευσης επι- θέσεων, η αναγκαιότητα για καλύτερη ασφάλεια μεγαλώνει και επεκτείνεται πέρα από αυτά που μπορούν να προσφέρουν τα τρέχοντα συστήματα. Πέρα από τις παραδοσιακές δικτυακές επιθέσεις, όπως worms και επιθέσεις άρνησης υπηρε- σίας (DoS), νέοι μέθοδοι επιθέσεων έχουνε εμφανιστεί τα τελευταία χρόνια. Καθώς η επιφάνεια επίθεσης των απομακρυσμένων exploits έχει μειωθεί χάρη στην αναβάθμιση των αμυντικών συ- στημάτων και των λειτουργικών συστημάτων, νέοι μέθοδοι διάδοσης έχουν εφευρεθεί. Οι επι- τιθέμενοι, στην προσπάθεια τους να προσαρμοστούν στα αμυντικά συστήματα, εξερευνούν νέες απειλές. Ο Παγκόσμιος Ιστός είναι μια πρώτης τάξεως πλατφόρμα για την εξαπόλυση επιθέσε- ων εξαιτίας του τεράστιου αριθμού χρηστών και την πληθώρα τεχνολογιών και αρχιτεκτονικών που μπορούν να παραβιαστούν. Αυτή η διατριβή διαπραγματεύεται έναν νέο τύπο επιθέσεων που εκμεταλλεύονται τον Παγκόσμιο Ιστό για να δημιουργήσουν μια υποδομή από υπολογιστές-bots, τους οποίους καλούμε ‘μαριονέτες’ (puppetnets). Τα puppetnets βασίζονται σε ιστοσελίδες που αναγκάζουν τους browsers να συμμετάσχουν σε κακόβουλες δραστηριότητες χωρίς να το γνωρίζουν. Τέτοιες δραστηριότητες περιλαμβάνουν τις κατανεμημένες επιθέσεις DoS, εξάπλωση worms και ανίχνευση ανοιχτών πορτών, και μπορούν να δράσουν μυστικά, χωρίς καμία επίδραση σε μία, κατα τα άλλα, φαινομενικά αθώα ιστοσελίδα. Σε αυτή την εργασία μελετάμε πειραματικά το μέγεθος της απειλής. Συζητάμε τα βασικά δομικά στοιχεία για την κατασκευή puppetnets και προσπαθούμε να ποσοτικοποιήσουμε την απόδοση τους. Στην προσπάθεια μας να αμυνθούμε από γνωστές και άγνωστες επιθέσεις, η διατριβή αυτή παρουσιάζει την υποδομή NoAH, ένα γεωγραφικά κατανεμημένο δίκτυο απο συνεργαζόμενους υπολογιστές-δολώματα (honeypots). Τα honeypots λειτουργούνε σαν παγίδες. Ο σκοπός τους είναι είναι να ανιχνεύσουν επιτιθέμενους παρακολουθώντας αχρησιμοποίητα κομμάτια του χώρου IP διευθύνσεων ή μιμούμενα την συμπεριφορά πραγματικών χρηστών. Τα honeypots έχουν αποδειχτεί χρήσιμα για τον ακριβή εντοπισμό επιθέσεων, συμπεριλαμβανομένων και άγνωστων α πειλών, με προσιτό κόστος και χωρίς λανθασμένους συναγερμούς, σε αντίθεση με τα παραδοσιακά σύστηματα ανίχνευσης επιθέσεων.

περισσότερα

Περίληψη σε άλλη γλώσσα

Security is increasingly regarded as an essential function for maintaining a reliable, available, and trustworthy network infrastructure. Viruses, worms, trojans, spyware and other types of malicious programs are discouraging the effective use of the Internet and crippling the network infrastructure. The exponential increase of attack volume and the evolution of attacking methods urge the need for efficient and accurate defense mechanisms. While research and development has produced a multitude of security products, including firewalls, antivirus systems and intrusion detection systems, demand for better security is growing far beyond what current systems can offer. Besides traditional network attacks, like worms and DoS attacks, new attack methods have appeared over the last few years. As the attack surface of remote exploits has been reduced due to advances in defenses and operating systems, new propagation methods are invented. Attackers, in their effort to adapt to security response, proactively explore and mitigate new threats. The World Wide Web is an excellent platform for launching attacks due to the vast number of users and plethora of technologies and architectures available for exploitation. This thesis discusses a new class of attacks that misuses the World Wide Web to create botnet-like infrastructures, which we call puppetnets. Puppetnets rely on websites that coerce web browsers to (unknowingly) participate in malicious activities. Such activities include distributed denial-of-service, worm propagation and reconnaissance probing, and can be engineered to be carried out in stealth, without any observable impact on an otherwise innocent-looking website. In this thesis we experimentally assess the threat from puppetnets. We discuss the building blocks for engineering puppetnet attacks and attempt to quantify how puppetnets would perform. In an effort to defends against known and unknown attacks, this thesis presents the NoAH infrastructure, a Network Of Affined Honeypots geographically distributed around the world. Honeypots act like traps; their purpose is to lure attackers by monitoring unused portions of the IP address space or imitating the behavior of real users. Honeypots have been shown to be very useful for accurately detecting attacks, including zero-day threats, at a reasonable cost and without false positives, unlike intrusion and anomaly detection systems. The NoAH architecture is extensible enough to allow the detection of both known and unseen attacks. The NoAH infrastructure is not a centralized farm of honeypots. On the contrary, it is a distributed set of honeyfarms that collaborate. Deployed honeyfarms either forward traffic to a centralized set of honeypots, called the NoAH core, or provide attack statistics for analysis and correlation purposes. Services like automated signature generation for zero-day attacks and display of statistics also run inside the core. An approach to validate the signatures generated by the NoAH components is also proposed. Our approach, called Sigval, is able to test signatures against large volumes of benign traffic in the order of few seconds.

περισσότερα

Διαβάστε τη διατριβή (Online)

Κατεβάστε τη διατριβή σε μορφή PDF (4.32 MB) (Η υπηρεσία είναι διαθέσιμη μετά από δωρεάν εγγραφή)

Όλα τα τεκμήρια στο ΕΑΔΔ προστατεύονται από πνευματικά δικαιώματα.

DOI	10.12681/eadd/18045
Διεύθυνση Handle	http://hdl.handle.net/10442/hedi/18045
ND	18045
Εναλλακτικός τίτλος	Defending against known and unknown attacks using a network of affined honeypots
Συγγραφέας	Αντωνάτος, Σπυρίδων (Πατρώνυμο: Παναγιώτης)
Ημερομηνία	2009
Ίδρυμα	Πανεπιστήμιο Κρήτης. Σχολή Θετικών και Τεχνολογικών Επιστημών. Τμήμα Επιστήμης Υπολογιστών
Εξεταστική επιτροπή	Μαρκάτος Ευάγγελος Μπίλας Άγγελος Σύρης Βασίλειος Ιωαννίδης Σωτήρης Πνευματικάτος Διονύσιος Κερομύτης Άγγελος Παπαδοπούλη Μαρία
Επιστημονικό πεδίο	Φυσικές Επιστήμες Επιστήμη Ηλεκτρονικών Υπολογιστών και Πληροφορική
Λέξεις-κλειδιά	Υπολογιστές-δολώματα; Ασφάλεια δικτύων; Επιθέσεις μέσω παγκόσμιου ιστού; Πιστοποίηση υπογραφών ασφαλείας
Χώρα	Ελλάδα
Γλώσσα	Αγγλικά
Άλλα στοιχεία	134 σ., εικ.

Στατιστικά χρήσης

ΠΡΟΒΟΛΕΣ

Αφορά στις μοναδικές επισκέψεις της διδακτορικής διατριβής για την χρονική περίοδο 07/2018 - 07/2023.
Πηγή: Google Analytics.

ΞΕΦΥΛΛΙΣΜΑΤΑ

Αφορά στο άνοιγμα του online αναγνώστη για την χρονική περίοδο 07/2018 - 07/2023.
Πηγή: Google Analytics.

ΜΕΤΑΦΟΡΤΩΣΕΙΣ

Αφορά στο σύνολο των μεταφορτώσων του αρχείου της διδακτορικής διατριβής.
Πηγή: Εθνικό Αρχείο Διδακτορικών Διατριβών.

ΧΡΗΣΤΕΣ

Αφορά στους συνδεδεμένους στο σύστημα χρήστες οι οποίοι έχουν αλληλεπιδράσει με τη διδακτορική διατριβή. Ως επί το πλείστον, αφορά τις μεταφορτώσεις.
Πηγή: Εθνικό Αρχείο Διδακτορικών Διατριβών.

Σχετικές εγγραφές (με βάση τις επισκέψεις των χρηστών)

Σύνθεση, χαρακτηρισμός και καταλυτική δραστικότητα τροποποιημένων περοβσκιτών τιτανίου

Οι πρόσφυγες της Καππαδοκίας στην Ελλάδα: κοινωνικές-πολιτισμικές και λειτουργικές διαστάσεις στην σχέση ανθρώπου και δομημένου περιβάλ...

Ανάπτυξη νέων μεθόδων προσδιορισμού ολικής αντιοξειδωτικής ενεργότητας και εφαρμογή στο ελαιόλαδο

Πειραματική διερεύνηση της συμπεριφοράς δοκών από σκυρόδεμα ενισχυμένων με πολυμερή οπλισμένα με χάλυβα ή άνθρακα

Generic detection of code injection attacks using network-level emulation

Εργαλεία CAD για τον υπολογισμό ισχύος και αξιοπιστίας κυκλωμάτων VLSI

Ανάλυση του μοριακού μηχανισμού έκκρισης τύπου ΙΙΙ στο εντεροπαθογόνο E. coli

Στατιστικές μέθοδοι πολυμεταβλητής ανάλυσης δεδομένων από βιολογικά κείμενα και οντολογίες

Ναυτιλιακές επιχειρήσεις, διεθνή δίκτυα και θεσμοί στη σπετσιώτικη εμπορική ναυτιλία, 1830-1870: οργάνωση, διοίκηση και στρατηγική

Προστασία συστημάτων από κατανεμημένες επιθέσεις στο διαδίκτυο

"Ανίχνευση γνωστών και άγνωστων επιθέσεων με τη χρήση ενός δικτύου από συνεργαζόμενα honeypots"
	Πληκτρολογήστε το κείμενο της εικόνας!
Δηλώνω ότι έλαβα γνώση και ανεπιφύλακτα συμφωνώ και αποδέχομαι τους Όρους Χρήσης του Εθνικού Αρχείου Διδακτορικών Διατριβών, καθώς και της .