Tesis:

Contribution to the Design of a Flexible and Adaptive Solution for the Management of Heterogeneous Honeypot Systems


  • Autor: FAN, Wenjun

  • Título: Contribution to the Design of a Flexible and Adaptive Solution for the Management of Heterogeneous Honeypot Systems

  • Fecha: 2017

  • Materia: Sin materia definida

  • Escuela: E.T.S. DE INGENIEROS DE TELECOMUNICACION

  • Departamentos: INGENIERIA DE SISTEMAS TELEMATICOS

  • Acceso electrónico: http://oa.upm.es/46846/

  • Director/a 1º: FERNÁNDEZ CAMBRONERO, David

  • Resumen: Los sistemas de información en red están profundamente integrados en todos los aspectos de la actual sociedad moderna sobrecargada de información. En ella se desarrollan constantemente actividades tales como la ejecución de transacciones comerciales, relacionadas con servicios gubernamentales o de carácter social entre miles de millones de usuarios, cuyo funcionamiento depende en gran parte de grandes sistemas informáticos en red. El crecimiento reciente del denominado ciberespacio en el que se desarrollan estas actividades ha sido espectacular. Sin embargo, los ordenadores y las redes que lo forman se han convertido en blanco de ataques por parte de adversarios y criminales. Las crecientes intrusiones en los sistemas informáticos en red son actividades que los desestabilizan, comprometiendo su seguridad en términos de confidencialidad, disponibilidad o integridad, las tres características principales que debe tener un sistema seguro y estable. Un sistema trampa o sistema señuelo (honeypot) es un importante recurso de seguridad que sacrifica su propia seguridad con el fin de capturar el tráfico de red y las actividades de usuarios sospechosos con el objeto de estudiarlos posteriormente. Las contribuciones de esta tesis se centran en el diseño de sistemas flexibles y adaptativos de creación y gestión de señuelos. La tesis presenta un estado del arte completo y actualizado en el ámbito de los señuelos, proponiendo una nueva taxonomía basada en una visión anatómica que extrae dos elementos comunes a todos los sistemas señuelo (el señuelo propiamente dicho y el programa de seguridad), así como la forma en que ambos se organizan (acoplamiento fuerte o débil). La taxonomía propuesta ha sido validada mediante su aplicación a un extenso conjunto de herramientas y proyectos de sistemas señuelo existentes, lo que ha permitido mejorar la compresión de esa área de investigación y desarrollo. La principal contribución de la tesis es el diseño de un nuevo sistema de creación y gestión de señuelos basado en tecnologías de redes definidas por software (SDN), denominado HoneyMagic. Dicho sistema propone una nueva arquitectura flexible y extensible basada en un lenguaje genérico de definición de redes de señuelos (TIHDL) y que utiliza la tecnología SDN para facilitar el mecanismo de redirección transparente del tráfico interesante desde señuelos de baja intensidad hacia señuelos de media o alta intensidad para una investigación más detallada. Con este objeto, el controlador SDN de HoneyMagic implementa un mecanismo de transferencia de conexiones TCP transparente. Además, aporta un enfoque de control de datos personalizable que permite al usuario configurar reglas arbitrarias de filtrado y redirección de tráfico según sus requisitos, así como el despliegue de redes de señuelos heterogéneos sobre distintas plataformas de virtualización. Adicionalmente la tesis presenta las pruebas realizadas para validar las funciones de HoneyMagic, así como datos de ataques específicos para comparar las funcionalidades y el rendimiento de HoneyMagic con otras herramientas relativas. Los resultados experimentales muestran que el sistema puede manejar de forma eficiente diferentes sistemas señuelo para capturar datos, gestionando la redirección del tráfico interesante de acuerdo con los objetivos de seguridad. ABSTRACT Networked computer systems are deeply integrated into every aspect of modern information-overloaded society. The mechanisms that keep our modern society owing smoothly, with activities such as efficient execution of government and commercial transactions and services, or consistent facilitation of social transactions among billions of users, are all dependent on large networked computer systems. Recent growth of the cyberspace has been phenomenal and consequently, the computers and the networks that make the Internet have become the targets of adversaries and criminals. Intrusions into a computer or network system are activities that destabilize them by compromising security in terms of confidentiality, availability or integrity, the three main characteristics of a secure and stable system. A honeypot is a valid and vital security facility used to deliberately sacrifice its own information system resource in order to capture unauthorized network traffic and malicious system activity. This thesis focuses on contribution to the design of flexible and adaptive honeypot systems. It encompasses discussion of the state of the art in the honeypot development and research area. It presents a novel taxonomy of honeypots based on a new anatomic view over honeypots, which extracts two common elements in all honeypots, decoy and security program, to define the honeypot, and also, provides the organization forms of these two elements, which are tight coupling and loose coupling. The taxonomy is validated by applying it to investigate an extensive set of existing honeypots. Detailed discussion and analysis of the related work provide a clear understanding of the research and development statement of this area. The main contribution of this thesis is the design of a novel creation and management system based on software-defined network technologies (SDN), called HoneyMagic. This system proposes a new flexible and extensible architecture based on SDN framework and a generic honeynet description language (TIHDL). It uses the SDN technology to facilitate transparent traffic redirection mechanism to forward or redirect the interesting traffic into corresponding honeypots for further investigation. For this purpose, the HoneyMagic SDN controller application implements the stealthy TCP connection handover mechanism. Also, it also presents a customizable data control approach that can allow the user to configure arbitrary traffic filtering and redirection rules according to the research requirement, as well as the deployment of the heterogeneous decoys on different virtualization platforms. In addition, the thesis presents the tests performed to validate the functions of HoneyMagic, as well as specific attack data to compare the functionalities and performance of HoneyMagic with other related tools. The experimental results show that the system can efficiently handle different honeypot systems to capture data, managing the traffic redirection interesting according to security objectives. The thesis presents experiment to validate the functions of the HoneyMagic. The thesis also provides specific attacks to compare the functionalities and performance of HoneyMagic with other relative tools. The experimental results show that the system can efficiently handle different honeypots to capture data and redirect the interesting traffic in stealthy into corresponding honeypots according to the security goals as well.