Вдосконалення принципів побудови та функціонування приманок в задачах захисту комп’ютерних систем та мереж
No Thumbnail Available
Date
2010
Authors
Journal Title
Journal ISSN
Volume Title
Publisher
Національний університет "Львівська політехніка"
Abstract
Дисертація присвячена питанням вдосконалення повно-інтерактивних приманок із забезпеченням стійкої до виявлення та блокування зловмисником систем реєстрації подій та знімання інформації з каналів взаємодії зловмисника та приманки. Розроблено нові підходи до розв’язання поставлених задач на основі бінарної реконструкції команд віртуального процесора на гіпервізорі Qemu. Досліджено та розроблено нові методи реєстрації та моніторингу зламу комп’ютерних систем. Розроблено математичну модель та підсистему протидії атакам на доступність та функціональність приманок. Запропоновані та розроблені методи дозволили програмно реалізувати систему захисту та моніторингу приманок під назвою “Система збору інформації та аналізу приманок” (СЗІАП). Розроблено поведінкову модель взаємодії між зловмисником та приманкою яка дозволила обирати параметри моніторингу подій у приманці. Диссертация посвящена исследованию вопросов совершенствования полно-интерактивных ловушек с обеспечением устойчивой к выявлению и блокированию злоумышленником системы регистрации и мониторинга событий. Разработаны новые подходы к решению поставленных задач на основе бинарной реконструкции команд виртуального процессора. Исследованы и разработаны новые методы регистрации и мониторинга взлома компьютерных систем. Разработана математическая модель и подсистема противодействия атакам на доступность и функциональность приманок. Предложенные и разработанные методы позволили программно реализовать систему защиты и мониторинга приманок под названием “Система сбора информации и анализа ловушек” (ССИАЛ). Разработано поведенческую модель взаимодействия между злоумышленником и ловушкой, позволившую выбирать параметры мониторинга событий в приманке. The dissertation is devoted to research on improving the height interactive honeypots with providing proof to identify and block registration and event monitoring systems by malicious. New approaches to solve that problem based on the virtualization approach and binary reconstruction of system calls passed thought virtual processor. Researched and developed new methods of registration and monitoring of fracture of computer systems, algorithms and mathematical model subsystem against attacks on the availability and functionality of honeypots. Also improved mechanisms of hiding virtual environment and all virtual devices, to protect honeypot from identification and future attack. Proposed and developed methods have allowed the program to realize system protection and monitoring honeypots called "System of information gathering and analysis of Honeypots (SoIGAH). A behavioural model of interaction between the attacker and the honeypot is allowed to choose options for monitoring events in the honeypot. First suggested segmenting the data model during the attack at the interaction between the attacker and the honeypot that allow increasing the accuracy of registration events related to the attack. Proposed and described a new method for controlling the set of system calls, combined with the control lines of events that allow studying ways to malicious manipulation during the attack on the application service. Developed mathematical models for new method of identifying DoS attacks on server that host virtual honeypot and for some services inside honeypot OS. Based on this method was possible to identify and introduce ways of access attempts, allowing us to automate analysing attacks. All systems developed generally for Linux kernel 2.4-2.6. SoIGAH consist of IDS sub-system (Snort based), file system IDS, experimental subsystem for blocking malicious system calls and system calls tracking mechanism, processes monitoring subsystem and subsystem for binary translate system events in honeypot. Dataset of malefactor behaviour contain a lot of well-known attack scenarios and also some new (got while experimenting with SoIGAH). The experimental results show that 40% of automated attacks on the corporate network are automatically processed online by our honeynet. By using equivalent parameters (as in Sebek v.3) our system show lower workload at monitoring system that confirms the efficacy, which made gains in productivity by 15%. This approach of controlling virtual operating systems also can be used to protect the operating system on hypervisor level, which is the newest approach in designing systems to protect information in enterprise systems.
Description
Keywords
honeypot, honeynet, security, virtual machines, hypervisor, Linux kernel, IDS signatures, GMDH, denied of service (DoS), information collection, intrusion detection, attack detection, analysis of incidents, ловушки, виртуализация, аудит виртуальных машин, защита информации, сбор информации, метод группового учета аргументов, отказ в обслуживании, приманки, пастки, віртуалізація, аудит віртуальних машин, захист інформації, збір інформації, метод групового врахування аргументів, відмова в обслуговуванні, виявлення атак, аналіз інциденту, системні виклики, ядро Лінукс ( Linux), гіпервізор
Citation
Тимошик Н. П. Вдосконалення принципів побудови та функціонування приманок в задачах захисту комп'ютерних систем та мереж : автореферат дисертації на здобуття наукового ступеня кандидата технічних наук : 05.13.05 – комп’ютерні системи та компоненти / Назар Петрович Тимошик ; Національний університет "Львівська політехніка". – Львів, 2010. – 20 с. – Бібліографія: с. 20–21 (12 назв).