УЧЕБНАЯ МОДЕЛЬ ВЫСОКОИНТЕРАКТИВНОЙ HONEYPOT-СИСТЕМЫ ДЛЯ ИЗУЧЕНИЯ МЕХАНИЗМОВ ОБНАРУЖЕНИЯ АТАК НА СЕТЕВУЮ ИНФРАСТРУКТУРУ
|
Введение 4
1 Общие сведения о honeypot-технологиях 6
2 Описание классификации honeypot-технологий 9
2.1 Классификационные признаки honeypot-устройств 9
2.2 Классификация honeypot по уровню интерактивности 9
2.3 Классификация honeypot по уровню адаптивности 12
2.4 Классификация honeypot по предназначению в сетевой
инфраструктуре 12
2.5 Классификация honeypot по типу системы 14
2.6 Классификация honeypot по цели применения 15
2.7 Классификация honeypot по виду размещения 16
2.8 Классификация honeypot по закономерности развертывания 16
3 Проблемы, присущие honeypot-технологиям 19
4 Процесс сбора и анализа информации, выполняемый honeypot-
технологиями 22
5 Обзор существующих реализаций honeypot-систем 24
5.1 Программные реализации honeypot-систем с низким уровнем
взаимодействия 24
5.2 Программные реализации honeypot-систем с высоким уровнем
взаимодействия 26
6 Разработка honeypot-системы 37
6.1 Вводные данные для разработки высокоинтерактивной honeypot-
системы 37
6.2 Архитектура системы 39
6.3 Алгоритм работы honeypot-системы 41
6.4 Реализация модели высокоинтерактивной honeypot-системы 43
6.4.1 Описание архитектуры разработанной модели honeypot- системы 43
6.4.2 Разработка модуля, реализующего механизм «обмана»
злоумышленника 44
6.4.3 Разработка модуля обнаружения факта атаки на honeypot-
систему 46
6.4.4 Разработка модуля сбора и визуализации данных о действиях
злоумышленника 48
6.4.5 Разработка модуля управления honeypot-системой 52
7 Разработка стенда, применяемого для выполнения учебных заданий, по ознакомлению принципа работы учебной модели высокоинтерактивной
honeypot-системы 55
7.1 Состав разрабатываемого стенда 55
7.2 Подготовка виртуального стенда 57
7.3 Состав учебных заданий по ознакомлению принципа работы учебной модели высокоинтерактивной honeypot-системы 58
8 Описание учебных рекомендаций по работе с учебной моделью
высокоинтерактивной honeypot-системой 60
9 Проверка работоспособности учебной модели высокоинтерактивной
honeypot-системы 98
10 Вредные психофизиологические факторы, влияющие на
психоэмоциональное состояние специалиста по защите информации. Методы и средства физической культуры, снижающие их воздействие 99
Заключение 102
Список используемых источников 104
Приложение А. Алгоритм работы honeypot-системы 107
Приложение Б. Dockerfile разработанного docker-контейнера 109
Приложение В. Файлы конфигурации стека «Loki» 110
Приложение Г. Код bash-скрипта «honeypot.sh» 112
1 Общие сведения о honeypot-технологиях 6
2 Описание классификации honeypot-технологий 9
2.1 Классификационные признаки honeypot-устройств 9
2.2 Классификация honeypot по уровню интерактивности 9
2.3 Классификация honeypot по уровню адаптивности 12
2.4 Классификация honeypot по предназначению в сетевой
инфраструктуре 12
2.5 Классификация honeypot по типу системы 14
2.6 Классификация honeypot по цели применения 15
2.7 Классификация honeypot по виду размещения 16
2.8 Классификация honeypot по закономерности развертывания 16
3 Проблемы, присущие honeypot-технологиям 19
4 Процесс сбора и анализа информации, выполняемый honeypot-
технологиями 22
5 Обзор существующих реализаций honeypot-систем 24
5.1 Программные реализации honeypot-систем с низким уровнем
взаимодействия 24
5.2 Программные реализации honeypot-систем с высоким уровнем
взаимодействия 26
6 Разработка honeypot-системы 37
6.1 Вводные данные для разработки высокоинтерактивной honeypot-
системы 37
6.2 Архитектура системы 39
6.3 Алгоритм работы honeypot-системы 41
6.4 Реализация модели высокоинтерактивной honeypot-системы 43
6.4.1 Описание архитектуры разработанной модели honeypot- системы 43
6.4.2 Разработка модуля, реализующего механизм «обмана»
злоумышленника 44
6.4.3 Разработка модуля обнаружения факта атаки на honeypot-
систему 46
6.4.4 Разработка модуля сбора и визуализации данных о действиях
злоумышленника 48
6.4.5 Разработка модуля управления honeypot-системой 52
7 Разработка стенда, применяемого для выполнения учебных заданий, по ознакомлению принципа работы учебной модели высокоинтерактивной
honeypot-системы 55
7.1 Состав разрабатываемого стенда 55
7.2 Подготовка виртуального стенда 57
7.3 Состав учебных заданий по ознакомлению принципа работы учебной модели высокоинтерактивной honeypot-системы 58
8 Описание учебных рекомендаций по работе с учебной моделью
высокоинтерактивной honeypot-системой 60
9 Проверка работоспособности учебной модели высокоинтерактивной
honeypot-системы 98
10 Вредные психофизиологические факторы, влияющие на
психоэмоциональное состояние специалиста по защите информации. Методы и средства физической культуры, снижающие их воздействие 99
Заключение 102
Список используемых источников 104
Приложение А. Алгоритм работы honeypot-системы 107
Приложение Б. Dockerfile разработанного docker-контейнера 109
Приложение В. Файлы конфигурации стека «Loki» 110
Приложение Г. Код bash-скрипта «honeypot.sh» 112
В настоящее время обеспечение безопасности сетевой инфраструктуры является важнейшей задачей любой организации, так как увеличивается число пользователей и систем, имеющих сетевую связь между собой. Поэтому сотрудники служб и отделов информационной безопасности постоянно стремятся усовершенствовать механизмы защиты, чтобы наилучшим образом подготовиться к моменту действий злоумышленников на объекты сетевой инфраструктуры [1]. Однако способы и методы проведения сетевых атак меняются с каждым днем, поэтому построить полностью безопасную сетевую инфраструктуру очень трудоёмко, а иногда просто невозможно.
В этой связи, наилучшей стратегией по обеспечению безопасности сетевого пространства является рассмотрение вопросов, касающихся анализа уязвимостей, которые могут быть использованы злоумышленниками для проникновения в сеть организации. Также важно иметь представление о типах атак, используемых злоумышленниками, средствах и методах, которые они используют. Все это позволит противостоять сетевым атакам в режиме реально времени [2]. Одним из технических средств, которое поможет реализовать описанную выше стратегию противостояния сетевым атакам, а также позволит снизить риск несанкционированного доступа в сеть, являются honeypot-системы.
Выпускная квалификационная работа посвящена возможности применения honeypot-систем как средств обнаружения атак на объекты сетевой инфраструктуры. Актуальность темы выпускной квалификационной работы обуславливается тем, что в настоящее время использование только классических механизмов обнаружения и предотвращения вторжений не дает возможности собирать в режиме реального времени точную информацию об этапах проводимых атак на объекты сетевой инфраструктуры, о злоумышленниках и инструментарии, которые они применяют. Такую возможность как раз дают honeypot-технологии, в особенности honeypot- устройства с высоким уровнем взаимодействия.
Целью данной выпускной квалификационной работы является разработка учебной модели высокоинтерактивной honeypot-системы для изучения механизмов обнаружения атак на сетевую инфраструктуру.
В ВКР должны быть рассмотрены следующие вопросы:
- описание классификации honeypot-технологий;
- обзор существующих реализаций honeypot-систем;
- разработка модуля управления honeypot-системой;
- разработка модуля обнаружения факта атаки на honeypot-систему;
- разработка модуля сбора и визуализации данных о действиях злоумышленника;
- разработка модуля, реализующего механизм «обмана» злоумышленника;
- описание учебных рекомендаций по работе с учебной моделью высокоинтерактивной honeypot-системой;
- проверка работоспособности учебной модели высокоинтерактивной honeypot-системы на основе разработанных заданий, приведенных в рекомендациях для учебных занятий;
- вредные психофизиологические факторы, влияющие на психоэмоциональное состояние специалиста по защите информации. Методы и средства физической культуры, снижающие их воздействие.
В этой связи, наилучшей стратегией по обеспечению безопасности сетевого пространства является рассмотрение вопросов, касающихся анализа уязвимостей, которые могут быть использованы злоумышленниками для проникновения в сеть организации. Также важно иметь представление о типах атак, используемых злоумышленниками, средствах и методах, которые они используют. Все это позволит противостоять сетевым атакам в режиме реально времени [2]. Одним из технических средств, которое поможет реализовать описанную выше стратегию противостояния сетевым атакам, а также позволит снизить риск несанкционированного доступа в сеть, являются honeypot-системы.
Выпускная квалификационная работа посвящена возможности применения honeypot-систем как средств обнаружения атак на объекты сетевой инфраструктуры. Актуальность темы выпускной квалификационной работы обуславливается тем, что в настоящее время использование только классических механизмов обнаружения и предотвращения вторжений не дает возможности собирать в режиме реального времени точную информацию об этапах проводимых атак на объекты сетевой инфраструктуры, о злоумышленниках и инструментарии, которые они применяют. Такую возможность как раз дают honeypot-технологии, в особенности honeypot- устройства с высоким уровнем взаимодействия.
Целью данной выпускной квалификационной работы является разработка учебной модели высокоинтерактивной honeypot-системы для изучения механизмов обнаружения атак на сетевую инфраструктуру.
В ВКР должны быть рассмотрены следующие вопросы:
- описание классификации honeypot-технологий;
- обзор существующих реализаций honeypot-систем;
- разработка модуля управления honeypot-системой;
- разработка модуля обнаружения факта атаки на honeypot-систему;
- разработка модуля сбора и визуализации данных о действиях злоумышленника;
- разработка модуля, реализующего механизм «обмана» злоумышленника;
- описание учебных рекомендаций по работе с учебной моделью высокоинтерактивной honeypot-системой;
- проверка работоспособности учебной модели высокоинтерактивной honeypot-системы на основе разработанных заданий, приведенных в рекомендациях для учебных занятий;
- вредные психофизиологические факторы, влияющие на психоэмоциональное состояние специалиста по защите информации. Методы и средства физической культуры, снижающие их воздействие.
В результате выполнения выпускной квалификационной работы была разработана учебная модель высокоинтерактивной honeypot-системы, позволяющая изучить механизмы обнаружения атак на сетевую инфраструктуру. Также был разработан виртуальный стенд, применяемый для изучения механизмов обнаружения атак на сетевую инфраструктуру.
Разработанный виртуальный стенд обеспечивал выполнение следующих учебных заданий:
- изучение принципа работы honeypot-системы;
- изучение возможных векторов атак на honeypot-систему.
В ходе дипломного проектирования было выполнено описание классификации honeypot-технологий. Был произведен обзор существующих общедоступных реализаций honeypot-систем. После чего в ходе написания отчета о выпускной квалификационной работы было выполнено описание архитектуры, разработанной высокоинтерактивной honeypot-системы, а также выполнено описание всех ее модулей. Также был разработан алгоритм работы honeypot-системы.
Кроме этого, в ходе выполнения дипломного проектирования были реализованы модули учебной модели высокоинтерактивной honeypot- системы. Был разработан модуль управления honeypot-системой, разработан модуль, реализующий механизм «обмана» злоумышленника, реализован модуль обнаружения факта атаки на honeypot-систему, реализован модуль сбора и визуализации данных о действиях злоумышленника. После реализации всех модулей учебной модели высокоинтерактивной honeypot- системы было разработано описание порядка выполнения учебных заданий для изучения механизма обнаружения атак на сетевую инфраструктуру. В составе сформулированных учебных заданий была описана и продемонстрирована работа honeypot-системы.
Разработанное описание порядка выполнения учебных заданий позволит будущим специалистам по защите информации познакомиться с работой honeypot-технологий, изучить возможные вектора сетевых атак, а также получить такие профессиональные компетенции, как:
- способность проводить анализ защищенности автоматизированным систем (ПК-3);
- способность разрабатывать модели угроз и модели нарушителя информационной безопасности автоматизированной системы (ПК-4);
- способность проводить инструментальный мониторинг
защищенности информации в автоматизированной системе и выявлять каналы утечки информации (ПК-17);
- способность администрировать подсистему информационной безопасности автоматизированной системы (ПК-26).
Таким образом, все пункты технического задания на выпускную квалификационную работу были выполнены в полном объеме.
В процессе выполнения выпускной квалификационной работы были подготовлены и опубликованы статьи в:
- сборнике статей VIII Всероссийской межвузовской научно-практической конференции «Информационные технологии в науке и образовании. Проблемы и перспективы 2021» на тему «Классификация honeypot-технологий. Обзор программных реализаций honeypot c низким уровнем взаимодействия» [24];
- журнале «Инжиниринг и технологии 2021. - Vol.6(1)» сетевого
научного издания «Инжиниринг и технологии» на тему «Анализ программных реализаций Honeypot-технологий с высоким уровнем взаимодействия» [25];
- сборнике статей III Всероссийской научно-технической конференции «Безопасность информационных технологий» на тему «Реализация высокоинтерактивной honeypot-системы для обнаружения сетевых атак» [26].
Разработанный виртуальный стенд обеспечивал выполнение следующих учебных заданий:
- изучение принципа работы honeypot-системы;
- изучение возможных векторов атак на honeypot-систему.
В ходе дипломного проектирования было выполнено описание классификации honeypot-технологий. Был произведен обзор существующих общедоступных реализаций honeypot-систем. После чего в ходе написания отчета о выпускной квалификационной работы было выполнено описание архитектуры, разработанной высокоинтерактивной honeypot-системы, а также выполнено описание всех ее модулей. Также был разработан алгоритм работы honeypot-системы.
Кроме этого, в ходе выполнения дипломного проектирования были реализованы модули учебной модели высокоинтерактивной honeypot- системы. Был разработан модуль управления honeypot-системой, разработан модуль, реализующий механизм «обмана» злоумышленника, реализован модуль обнаружения факта атаки на honeypot-систему, реализован модуль сбора и визуализации данных о действиях злоумышленника. После реализации всех модулей учебной модели высокоинтерактивной honeypot- системы было разработано описание порядка выполнения учебных заданий для изучения механизма обнаружения атак на сетевую инфраструктуру. В составе сформулированных учебных заданий была описана и продемонстрирована работа honeypot-системы.
Разработанное описание порядка выполнения учебных заданий позволит будущим специалистам по защите информации познакомиться с работой honeypot-технологий, изучить возможные вектора сетевых атак, а также получить такие профессиональные компетенции, как:
- способность проводить анализ защищенности автоматизированным систем (ПК-3);
- способность разрабатывать модели угроз и модели нарушителя информационной безопасности автоматизированной системы (ПК-4);
- способность проводить инструментальный мониторинг
защищенности информации в автоматизированной системе и выявлять каналы утечки информации (ПК-17);
- способность администрировать подсистему информационной безопасности автоматизированной системы (ПК-26).
Таким образом, все пункты технического задания на выпускную квалификационную работу были выполнены в полном объеме.
В процессе выполнения выпускной квалификационной работы были подготовлены и опубликованы статьи в:
- сборнике статей VIII Всероссийской межвузовской научно-практической конференции «Информационные технологии в науке и образовании. Проблемы и перспективы 2021» на тему «Классификация honeypot-технологий. Обзор программных реализаций honeypot c низким уровнем взаимодействия» [24];
- журнале «Инжиниринг и технологии 2021. - Vol.6(1)» сетевого
научного издания «Инжиниринг и технологии» на тему «Анализ программных реализаций Honeypot-технологий с высоким уровнем взаимодействия» [25];
- сборнике статей III Всероссийской научно-технической конференции «Безопасность информационных технологий» на тему «Реализация высокоинтерактивной honeypot-системы для обнаружения сетевых атак» [26].
