허니팟(컴퓨팅)

Honeypot (computing)

컴퓨터 용어에서 허니팟은 정보 시스템의 무단 사용을 탐지, 편향 또는 어떤 방식으로든 대항하기 위해 설정된 컴퓨터 보안 메커니즘입니다.일반적으로 허니팟은 사이트의 합법적인 부분으로 보이는 데이터(예를 들어 네트워크 사이트 내)로 구성되며 공격자에게 유용한 정보 또는 리소스를 포함합니다.실제로는 격리되어 감시되며 공격자를 차단 또는 분석할 수 있습니다.이는 흔히 [1]용의자를 "매복"하는 경찰의 저격 작전과 유사하다.

정보 시스템 허니팟 다이어그램

종류들

허니팟은 전개(사용/액션) 및 관여 수준에 따라 분류할 수 있습니다.전개에 따라 허니팟은 다음과 같이 분류할 수 있습니다.

  • 생산용 허니팟
  • 허니팟을 조사하다

실제 가동 중인 허니팟은 사용이 간편하고 제한된 정보만 캡처할 수 있으며 주로 기업에서 사용됩니다.실제 가동 중인 허니팟은 조직이 전체적인 보안 상태를 개선하기 위해 다른 운영 서버와 함께 운영 네트워크 내에 배치됩니다.일반적으로 실제 가동 중인 허니팟은 상호 작용이 적은 허니팟으로 도입이 용이합니다.공격이나 공격자에 대한 정보는 조사용 [2]허니팟보다 적습니다.

다양한 네트워크를 대상으로 한 블랙햇 커뮤니티의 동기와 전술에 대한 정보를 수집하기 위해 리서치 허니팟이 운영됩니다.이러한 허니팟은 특정 조직에 직접적인 가치를 부가하는 것이 아니라 조직이 직면한 위협을 조사하고 이러한 [3]위협으로부터 더 잘 보호하는 방법을 학습하는 데 사용됩니다.연구용 허니팟은 도입과 유지보수가 복잡하고 광범위한 정보를 수집하며 주로 연구,[4] 군사 또는 정부 조직에서 사용됩니다.

설계 기준에 따라 허니팟은 다음과 같이 분류할 수 있습니다.

  • 순수한 허니팟
  • 고상호작용 허니팟
  • 저상호작용 허니팟

순수 허니팟은 본격적인 생산 시스템이다.공격자는 네트워크에 대한 Honeypot 링크에 설치된 버그탭을 사용하여 액티비티를 감시합니다.그 외의 소프트웨어는 인스톨 할 필요가 없습니다.순허니팟은 유용하지만 보다 제어된 기구에 의해 방어기구의 은밀성을 확보할 수 있다.

높은 인터랙션의 허니팟은 다양한 서비스를 호스트하는 실가동 시스템의 액티비티를 모방하기 때문에 공격자가 많은 서비스에 시간을 낭비할 수 있습니다.가상 시스템을 사용하면 단일 물리적 시스템에서 여러 개의 허니팟을 호스팅할 수 있습니다.따라서 허니팟이 손상되어도 더 빨리 복구할 수 있습니다.일반적으로 상호작용이 높은 허니팟은 검출이 어려워 보안성이 향상되지만 유지보수는 비용이 많이 듭니다.가상 시스템을 사용할 수 없는 경우 각 허니팟에 물리적 컴퓨터를 하나씩 유지 관리해야 합니다. 이 경우 비용이 지나치게 많이 들 수 있습니다.예:허니넷.

상호 작용이 적은 허니팟은 공격자가 자주 요청하는 서비스만 시뮬레이션합니다.이러한 시스템은 비교적 적은 리소스를 사용하기 때문에 여러 가상 시스템을 하나의 물리적 시스템에서 쉽게 호스트할 수 있고, 가상 시스템의 응답 시간이 짧으며, 필요한 코드가 적기 때문에 가상 시스템의 보안의 복잡성을 줄일 수 있습니다.예:허니드.

사탕수수는 오픈 [5]프록시로 가장하는 허니팟의 일종이다.대부분의 경우 잘못 설정된HTTP [6]프록시처럼 설계된 서버로서 형식을 취할 수 있습니다.아마도 가장 유명한 오픈프록시는 임의의 [7]수신처로 이메일을 전송하거나 수신처로 이메일을 전송하는 sendmail 기본 설정(1998년 버전 8.9.0 이전)일 것입니다.

속임수 기술

최근 기본적인 허니팟 기술을 이용한 기만 기술이라는 새로운 시장 세그먼트가 등장하고 있으며, 여기에 규모를 위한 고급 자동화 기술이 추가되었다.속임수 기술은 대규모 상업 기업 또는 정부 [8]기관에 대한 허니팟 자원의 자동 배포에 대처합니다.

악성 프로그램 허니팟

멀웨어 허니팟은 알려진 멀웨어 복제 및 공격 벡터를 이용하여 멀웨어를 탐지하는 데 사용됩니다.USB 플래시 드라이브와 같은 복제 벡터는 수동 또는 드라이브를 에뮬레이트하는 특수 목적의 허니팟을 통해 수정의 증거를 쉽게 확인할 수 있습니다.

스팸 버전

스팸 발송자는 열린 메일 릴레이 및 열린 프록시 같은 취약한 리소스를 악용합니다.이러한 서버는 스팸 발송자를 포함한 인터넷 상의 모든 사용자로부터 전자 메일을 수신하여 수신처로 보내는 서버입니다.일부 시스템 관리자는 스팸 발송 액티비티를 검출하기 위해 이러한 사용 가능한 리소스로 위장하는 허니팟 프로그램을 만들었습니다.

이러한 관리자에게 허니팟이 제공하는 몇 가지 기능이 있으며, 이러한 가짜 악용 가능한 시스템이 존재하면 남용은 더욱 어려워지거나 위험해집니다.허니팟은 매우 많은 양의 남용(예: 스팸 발송자)에 의존하는 사람들의 남용에 대한 강력한 대책이 될 수 있습니다.

이러한 허니팟은 악용자의 IP 주소를 공개하고 대량 스팸 캡처를 제공할 수 있습니다(이를 통해 운영자는 스팸 발송자의 URL 및 응답 메커니즘을 확인할 수 있습니다).M이 기술한 바와 같이.오늘 ITPRO에서 Edwards:

일반적으로 스팸 발송자는 메일 서버에 전자 메일 메시지를 보내는 것만으로 열린 릴레이를 테스트합니다.스팸 발송자가 전자 메일 메시지를 수신하면 메일 서버는 분명히 공개 릴레이를 허용합니다.그러나 허니팟 운영자는 릴레이 테스트를 사용하여 스팸 발송자를 방지할 수 있습니다.Honeypot은 릴레이 테스트 전자 메일메시지를 수신하고 테스트 전자 메일메시지를 반환한 후 해당 스팸 발송자로부터 다른 모든 전자 메일메시지를 차단합니다.스팸 발송자는 스팸 발송에 스팸 방지 허니팟을 계속 사용하지만 스팸은 전달되지 않습니다.한편, 허니팟 운영자는 스팸 발송자의 ISP에 통지하고 그들의 인터넷 계정을 해지할 수 있다.허니팟 운영자는 오픈 프록시 서버를 사용하는 스팸 발송자를 탐지한 경우 프록시 서버 운영자에게 서버를 잠그도록 통지하여 더 이상의 [9]오용을 방지할 수도 있습니다.

명백한 원인은 또 다른 악용된 시스템일 수 있습니다.스팸 발송자 및 기타 악용자는 이러한 악용된 시스템의 체인을 사용하여 악용 트래픽의 원래 시작 지점을 탐지하는 것을 어렵게 할 수 있습니다.

이는 스팸 방지 도구로서의 허니팟의 위력을 나타냅니다.안티스팸 허니팟의 초창기에는 스팸 발송자가 위치를 숨기는 데 거의 신경을 쓰지 않고 취약성을 테스트하고 자체 시스템에서 직접 스팸을 발송하는 데 안전하다고 느꼈습니다.허니팟은 학대를 더 위험하고 어렵게 만들었다.

스팸은 여전히 오픈 릴레이를 통해 흐르지만, 2001-02년에 비해 양이 훨씬 적습니다.대부분의 스팸은 미국에서 [10]발생하지만 스팸 발송자는 발신지를 숨기기 위해 정치적 경계를 넘어 공개 릴레이를 통과합니다.허니팟 운영자는 인터셉트된 릴레이 테스트를 사용하여 허니팟을 통해 스팸을 릴레이하려는 시도를 인식하고 저지할 수 있습니다."Thwart"는 "릴레이 스팸을 받아들이지만 전달을 거부한다"는 의미일 수 있습니다.허니팟 운영자는 캡처된 스팸 메시지를 검사하여 스팸 및 스팸 발송자에 대한 다른 세부 정보를 발견할 수 있습니다.

오픈 릴레이 허니팟에는 Jack Cleaver가 Java로 작성한 Jackpock, Karl A가 Python으로 작성smtpot.py 등이 있습니다.Krueger;[11]스팸홀([12]C로 표기)Bubblegum Proxypot은 오픈 소스 허니팟(또는 "프록시팟")[13]입니다.

이메일 트랩

주요 기사: 스팸 트랩

스팸 수신 이외의 목적으로 사용되지 않는 전자 메일 주소도 스팸 허니팟으로 간주할 수 있습니다."스팸 트랩"이라는 용어와 비교하여 "허니팟"이라는 용어가 프로브를 탐지하거나 반격하는 데 사용되는 시스템 및 기술에 더 적합할 수 있습니다.스팸 트랩을 사용하면 스팸이 수신처에 "합법적으로" 도착합니다.비 스팸 이메일이 수신되는 것과 똑같습니다.

이러한 기술을 혼합한 것이 Project Honey Pot입니다. Project Honey Pot은 전 세계 웹사이트에 설치된 허니팟 페이지를 사용하는 분산형 오픈 소스 프로젝트입니다.이러한 허니팟 페이지는 고유한 태그가 달린 스팸 트랩 전자 메일 주소를 전파하고 스팸 발송자를 추적할 수 있습니다.이 후 대응하는 스팸 메일이 이러한 스팸 트랩 전자 메일 주소로 전송됩니다.

데이터베이스 허니팟

데이터베이스는 SQL 주입을 사용하여 침입자의 공격을 받는 경우가 많습니다.이러한 액티비티는 기본 방화벽에서는 인식되지 않기 때문에 기업은 데이터베이스 방화벽을 보호에 사용하는 경우가 많습니다.사용 가능한 SQL 데이터베이스 방화벽 중 일부는 허니팟 아키텍처를 제공/지원하여 침입자가 웹 응용 프로그램을 [14]계속 작동하는 동안 트랩 데이터베이스에 대해 실행할 수 있도록 합니다.

허니팟 검출

허니팟이 스팸 발송자에 대한 무기인 것처럼 허니팟 탐지 시스템은 스팸 발송자가 사용하는 대항 무기이다.검출 시스템은 디폴트 허니팟 [15]구성의 속성값 쌍과 같은 특정 허니팟의 고유 특성을 사용하여 식별하기 때문에 사용 중인 많은 허니팟은 검출 및 식별을 원하는 사용자에게 더 크고 어려운 고유 특성 세트를 사용합니다.이것은 소프트웨어에서는 드문 상황입니다.버전염(같은 소프트웨어의 다수의 버전이 서로 조금씩 다른 것)이 도움이 될 수 있는 상황입니다.검출하기 쉬운 허니팟을 도입하는 것도 장점입니다.Defession Toolkit의 발명자인 Fred Cohen은 허니팟을 실행하는 모든 시스템에는 적이 허니팟을 [16]탐지하는 데 사용할 수 있는 속임수 포트가 있어야 한다고 주장한다.Cohen은 이것이 적을 단념시킬 수 있다고 믿고 있습니다.

리스크

허니팟의 목적은 공격 툴이나 전술, 기술, 프로시저(TTP)고도타협 지표(IoC)를 얻기 위해 충분한 기간 동안 공격자를 유인하고 관여시키는 것입니다.따라서 허니팟은 프로덕션 네트워크에서 필수적인 서비스를 에뮬레이트하고 공격자에게 공격자에 대한 매력을 높이기 위해 적대적 활동을 수행할 자유를 부여해야 합니다.허니팟은 제어된 환경이며 허니월 [17]등의 툴을 사용하여 감시할 수 있지만 공격자는 여전히 일부 허니팟을 피벗 노드로 사용하여 운영 [18]시스템에 침투할 수 있습니다.

허니팟의 두 번째 위험은 대규모 기업 네트워크에서의 통신 부족으로 인해 합법적인 사용자를 유인할 수 있다는 것입니다.예를 들어 허니팟을 적용 및 감시하는 보안팀은 통신이 되지 않거나 내부자 [19][20]위협을 방지하기 위해 허니팟 위치를 모든 사용자에게 제때 공개하지 못할 수 있습니다.

꿀그물

「허니 넷」은, 생산 네트워크를 시뮬레이트 해, 모든 액티비티를 감시, 기록, 어느 정도 신중하게 규제하도록 구성되는, 높은 인터랙션의 허니팟의 네트워크입니다.

-Lance Spitzner,
Honeynet Project

네트워크상의 2개 이상의 허니팟이 허니넷을 형성합니다.일반적으로 허니넷은 1개의 허니팟으로 충분치 않을 수 있는 대규모 및/또는 다양한 네트워크를 감시하기 위해 사용됩니다.허니넷과 허니팟은 보통 대규모 네트워크 침입 탐지 시스템의 일부로 구현됩니다.꿀농장은 꿀단지 및 분석 도구의 [21]집중화된 집합체입니다.

허니넷의 개념은 1999년 허니넷 프로젝트의 창시자인 랜스 스피츠너가 "허니팟을 만들기 위해"[22]라는 논문을 발표하면서 처음 시작되었다.

역사

최초의 허니팟 기술은 클리포드 스톨의 1989년 저서 '뻐꾸기의 알'에 설명되어 있다.

허니팟의 사이버 보안 사용에 대한 최초의 문서화된 사례 중 하나는 1991년 1월에 시작되었다.1991년 1월 7일 AT&T 벨 연구소에서 일하는 동안 체이스윅은 크래커로 알려진 범죄 해커가 암호 파일의 복사본을 얻으려고 시도하는 것을 목격했다.체스윅은 그와 동료들이 몇 달 동안 공격자를 관찰할 수 있는 "차루트 "제일" (또는 "로치 모텔")을 건설했다고 썼다.[23]

2017년 네덜란드 경찰은 허니팟 기술을 이용해 다크넷 시장 한사 이용자들을 추적했다.

곰이 꿀에 끌리고 훔치는 은유는 게르만어, 켈트어, 슬라브어를 포함한 많은 전통에서 흔하다.곰을 뜻하는 슬라브어로는 메드베드 "꿀먹이"가 있다.곰이 꿀을 훔치는 전통은 이야기와 민속, 특히 유명[24][25]곰돌이 푸우를 통해 전해져 왔다.

「 」를 참조해 주세요.

레퍼런스 및 메모

  1. ^ Cole, Eric; Northcutt, Stephen. "Honeypots: A Security Manager's Guide to Honeypots".
  2. ^ a b c Mokube, Iyatiti; Adams, Michele (March 2007). "Honeypots: concepts, approaches, and challenges". Proceedings of the 45th Annual Southeast Regional Conference: 321–326. doi:10.1145/1233341.1233399. S2CID 15382890.
  3. ^ Lance Spitzner (2002). Honeypots tracking hackers. Addison-Wesley. pp. 68–70. ISBN 0-321-10895-7.
  4. ^ Katakoglu, Onur (2017-04-03). "Attacks Landscape in the Dark Side of the Web" (PDF). acm.org. Retrieved 2017-08-09.
  5. ^ Talukder, Asoke K.; Chaitanya, Manish (17 December 2008). Architecting Secure Software Systems Page 25 – CRC Press, Taylor & Francis Group. ISBN 9781420087857.
  6. ^ "Exposing the Underground: Adventues of an Open Proxy Server". 21 March 2011.
  7. ^ "Capturing web attacks with open proxy honeypots". 3 July 2007.
  8. ^ "Deception related technology – its not just a "nice to have", its a new strategy of defense – Lawrence Pingree". 28 September 2016.
  9. ^ Edwards, M. "Antispam Honeypots Give Spammers Headaches". Windows IT Pro. Archived from the original on 1 July 2017. Retrieved 11 March 2015.
  10. ^ "Sophos reveals latest spam relaying countries". Help Net Security. Help Net Security. 24 July 2006. Retrieved 14 June 2013.
  11. ^ "Honeypot Software, Honeypot Products, Deception Software". Intrusion Detection, Honeypots and Incident Handling Resources. Honeypots.net. 2013. Archived from the original on 8 October 2003. Retrieved 14 June 2013.
  12. ^ dustintrammell (27 February 2013). "spamhole – The Fake Open SMTP Relay Beta". SourceForge. Dice Holdings, Inc. Retrieved 14 June 2013.
  13. ^ Ec-Council (5 July 2009). Certified Ethical Hacker: Securing Network Infrastructure in Certified Ethical Hacking. Cengage Learning. pp. 3–. ISBN 978-1-4354-8365-1. Retrieved 14 June 2013.
  14. ^ "Secure Your Database Using Honeypot Architecture". dbcoretech.com. August 13, 2010. Archived from the original on March 8, 2012.
  15. ^ Cabral, Warren; Valli, Craig; Sikos, Leslie; Wakeling, Samuel (2019). "Review and Analysis of Cowrie Artefacts and Their Potential to be Used Deceptively". Proceedings of the 2019 International Conference on Computational Science and Computational Intelligence. IEEE. pp. 166–171. doi:10.1109/CSCI49370.2019.00035. ISBN 978-1-7281-5584-5.
  16. ^ "Deception Toolkit". All.net. All.net. 2013. Retrieved 14 June 2013.
  17. ^ "Honeywall CDROM – The Honeynet Project". Retrieved 2020-08-07.
  18. ^ Spitzner, Lance (2002). Honeypots Tracking Hackers. Addison-Wesley Professional. OCLC 1153022947.
  19. ^ Qassrawi, Mahmoud T.; Hongli Zhang (May 2010). "Client honeypots: Approaches and challenges". 4th International Conference on New Trends in Information Science and Service Science: 19–25.
  20. ^ "illusive networks: Why Honeypots are Stuck in the Past NEA New Enterprise Associates". www.nea.com. Retrieved 2020-08-07.
  21. ^ "cisco router Customer support". Clarkconnect.com. Archived from the original on 2017-01-16. Retrieved 2015-07-31.
  22. ^ "Know Your Enemy: GenII Honey Nets Easier to deploy, harder to detect, safer to maintain". Honeynet Project. Honeynet Project. 12 May 2005. Archived from the original on 25 January 2009. Retrieved 14 June 2013.
  23. ^ "An Evening with BerferdIn Which a Cracker is Lured, Endured, and Studied" (PDF). cheswick.com. Retrieved 3 Feb 2021.
  24. ^ "The word for "bear"". Pitt.edu. Retrieved 12 Sep 2014.
  25. ^ 셰퍼드, E. H., 밀른, A. (1994년)곰돌이 푸우의 완전한 이야기영국:더튼 아동 도서

추가 정보

외부 링크