مقاله تشخیص و آنالیز شبکه و جلوگیری از حمله به لایه های کاربردی و ایجاد امنیت در سیستم با استفاده از Honey Pot

بخشی از مقاله

خلاصه

امنیت اطلاعات در تعاملات خصوصی و اجتماعی به موازات پیشرفت تکنولوژی های جدید به عنوان اولویت اصلی در جهان دیجیتال شده امروز تبدیل شده است. بسیاری از رویکردها و ابزارها برای ارائه امنیت اطلاعات به سیستم های اطلاعاتی استفاده می شود. Honeypot سیستم دفاع فعال برای امنیت شبکه است و تاثیر شگرفی بر امنیت جلوگیری می کند.

Honeypot با راه حل های امنیتی دیگر ادغام شده است، که قادر به حل بسیاری از معضلات قدیمی است. ما اجزای کلیدی برای تصرف کردن اطلاعات و کنترل داده ها در honeypot و طبقه بندی کردن برای honeypot با توجه به اهداف امنیتی و اهداف کاربردی را شرح می دهیم. هانی پات یک ابزار نفوذ مبتنی بر جاوا با قدرت نفوذ به سرویس هایی مثل FTP است٬ که یک موتور تشخیص نفوذ مبتنی بر " "Rule & Anomalyو یک ابزار مدیریت و کنترل مبتنی بر شبکه است.

در این مقاله به تجزیه و تحلیل حملات کشف شده به سیتم های موجود می پردازیم که رویکرد پیشنهادی را موثرتر ارائه می دهد. ویژگی های امنیتی سیستم نیز بر اساس دسترسی به سیستم ایمن بررسی می شود. ویژگی هایی مانند تشخیص نفوذ بر اساس زمان بندی و جزئیات ورود به سیستم در نظر گرفته شده است. برای برقراری امنیت در سیستم ردیابی کاربران برای ورود به سیستم و دیگر پایگاه داده ها از پیش تعریف شده مورد بررسی قرار می گیرد.

.1  مقدمه

یک honeypot به دقت نظارت می کند و منابع محاسباتی را مورد آنالیز قرار میدهد. که تنها هدف آن مقابله با ورود افراد غیر مجاز به سیستم یا در خطر افتادن امنیت سیستم می باشد. یک honeypot به عنوان "یک منبع سیستم اطلاعاتی که ارزش آن در استفاده غیر مجاز یا غیرقانونی از آن منابع است" تعریف می شود.

Honeypot می تواند هر عمل نفوذی توسط مهاجمان را شناسایی کند٬ همچنین Honeypot می تواند تلاش های دسترسی به سیستم توسط یک فرد مزاحم٬ تصرف کردن کلید های keystrokes٬ شناسایی فایل ها و پوشه های کمتر دسترسی یافته و تغییر یافته، و برنامه هایی که در حال اجرا هستند توسط آن قابل شناسایی است.

اگر یک مزاحم بی اطلاع باشد که در داخل honeypot است، ما حتی می توانیم شناسایی کنیم که انگیزه او در پشت این نفوذ غیر مجاز چیست.

هانی پات ها می توانند به راحتی در داخل شبکه، خارج از شبکه و همچنین در داخل  DMZ - Demilitarized  Zone - قرار گیرند.

وجود هانی پات در اطلاع از نحوه دسترسی نفوذگران و مهاجمان و تلاش برای دسترسی به سیستم شما لازم و ضروری است. با یادگیری و ضبط اینکه چگونه مهاجمین برای دستیابی و کشف اطلاعات سیستم عمل می کنند، می توانیم درک روش های مقابله با حمله را که به ما برای محافظت از سیستم های به ما کمک می کند، به دست آوریم.

.2  کار مرتبط

Honeypot یک فناوری قدرتمند است که پتانسیل بسیار بالایی دارد و هر نوع حمله ی جدیدی را تشخیص می دهد. این مقاله به طور کامل بر شناسایی، تشخیص و تهیه تهدیدهای جدید به سیستم تمرکز دارد. حمله می تواند مخرب و خطرناک باشد٬ و مهاجم می تواند به سیستم وارد شده و سیستم را شکست دهد.

تهدیدات داخلی خطرناک تر از تهدیدات خارجی هستند. برای شناسایی این موضوع٬ در این مقاله، بسیاری از ایده ها در رابطه با ARDA مورد بحث قرار گرفته است.

در این منطقه به بررسی اصول اولیه Honeypot می پردازیم و روشن می شود چه چیزهای پیش نیازها هستند برای آن که honeypot ایجاد شود.

بخش بزرگی از Honeypot به بررسی حملات سطح شبکه یا سیستم عامل بستگی دارد، با این حال، حبس کردن سیستم با آن حمله را می توان به طور مستقیم و به راحتی از طریق امنیت سطح سیستم قابل دیدن کرد.

یک خرابکار می تواند کد های خرابکارانه را به سطح برنامه وب از طریق فایروال و IDS منتقل کند زیرا این لایه ها برای محدود کردن دسترسی به یک برنامه کاربردی استفاده می شوند، با این حال هیچ بینشی در رابطه با داده هایی که از طریق آنها به برنامه وب دسترسی داشته باشند ندارند ، جایی که آنها می توانند از آسیب های موجود در برنامه سوء استفاده کنند. این مقاله پیشنهاد می کند که با استفاده از هانی پات امنیت را در برنامه های وب به راحتی گسترش داد.

.3  سیستم پیشنهادی

مرحله اول یک حادثه این است که، که قصد دارد ارسال مکاتبات بخصوص را مدیریت کرده و روال کار را تسهیل بخشد. برای مثال، یک استراتژی مهاجم این است که به طور پیوسته تعداد بی شماری آدرس های سیستم را در یک زیر شبکه خاص پیدا کرده و بررسی کند. متجاوز به مرحله بعدی می رود فقط در صورتی که اعمال خرابکارانه او پاسخ داده و او به ادامه دادن به کار خرابکارانه خود علاقمند باشد.

شکل -1 دوره های مشخصی از سیستم

مرحله دوم، سوء استفاده از مدیریت موجود بر روی ماشین آسیب دیده با استفاده از چندین مرحله حملات پی در پی می باشد. معمولا بین مرحله اول و دوم، حد معینی وجود ندارد بر اساس چند حمله به گروهی از سیستم های تنها و تلاش بیشتر برای ارتباط با آنها با استفاده از حملات مداوم انجام می گیرد. بعلاوه، مهاجمان مرتبا از این برقرار کردن ارتباط استفاده می کنند تا اطلاعات سیستم را به دست آورند. مهاجم به مرحله بعدی می رود، تا به صورت خاموش رد و بدل کردن اطلاعات را مدیریت کند.

مرحله سوم این است که از یک کانال ارتباطی استفاده شود. مهاجم می تواند کسی باشد که نیاز به دسترسی به اطلاعات خاصی داشته باشد یا یک کرم که فقط از یک ماشین بیسیم به دیگری پخش می شود. در چنین مواردی کرم معرفی شده بر روی دستگاه به تازگی نابود شده است شروع به بررسی تلفات مختلف می کند و با بار دیگر شروع به روش حمله دیگر می کند. با این مدل ما می توانیم دوره های مشخصی از حمله به سیستم را با انواع مختلف honeypot مشخص کنیم. شکل دقیق عناصر این نقشه کشیده شده و روشن است چگونه خواص honeypot متصل می شوند.

در صورتی که یک سیستم ارتباطی بدرستی بین دو طرفی که می خواهند با هم ارتباط برقرار کنند نصب شده باشد٬ همانطور که مشاهده کردیم در حالی که روشن کردن دوره دوم حمله، ما می توانیم موارد خاصی را پیش از این حمله راکشف کنیم زیرا چندین حمله از یک بسته ی انحصاری ساخته شده است که نیازی به تأیید اولیه از تلفات ارسال نمی کند.

همکاری های ضعیف honeypot مناسب برای جمع آوری سوء استفاده های ارسال شده در طول دوره دوم از حمله است.

همانطور که ممکن است، همکاری ضعیف اسکریپت های کپی شده توسط honeypot ، به طور کلی سطح همکاری مورد نیاز حمله های پیچیده را برآورده نخواهد کرد.