Client honeypot
Активная система обнаружения опасных серверов (АСООС от англ. client honeypot) — это активные механизмы, которые сами ищут опасные ресурсы. То есть этот механизм должен посетить некоторый удалённый ресурс (или воспользоваться службой) и собрать о нём информацию, на основе которой можно заключить, является ли данный ресурс опасным. Таким образом, АСООС преследует цели обнаружить опасные сервера, либо найти новые способы взлома, используемые злоумышленниками. Пассивные системы называют СОВ.
В настоящее время[когда?] используется ряд классификаций АСООС, основанных на разных признаках. Так, по уровню взаимодействия выделяют два класса: АСООС высокого и низкого уровня взаимодействия. Под уровнем взаимодействия здесь подразумевается количество функций доступных удалённому ресурсу, с которым и «общается» система. Иными словами, если реализация АСООС представляет собой реальную информационную систему (то есть реализует полный набор функций имитируемой системы и обладает всеми её свойствами), то её относят к классу высокого взаимодействия. Если же он только эмулирует некоторые функциональные возможности системы (то есть не обладает всеми свойствами реальной информационной системы и набором функций для взаимодействия), тогда его относят к классу низкого взаимодействия. Такие системы ещё называют виртуальными.
Уровень взаимодействия | Сложность установки и управления | Уровень риска | Уровень достоверности | Количество собираемой информации |
---|---|---|---|---|
Низкий | Низкая | Низкий | Низкий | Низкое |
Высокий | Высокая | Высокий | Высокий | Высокое |
В общем случае система может посещать внешние ресурсы любого типа, в любой сети, как внешней, так и внутренней. Но наиболее остро стоит вопрос в посещении Интернет страниц браузером.
Программы низкого взаимодействия
- HoneyC — разработан в Университете Виктории Веллингтона в 2006 году. Написан на языке Ruby. Опасные сервера засекаются за счёт статической проверки ответа веб-сервера на наличие опасной строки используя сигнатуры Snort. (Snort — одна из реализаций СОВ)
- Monkey-Spider — разработан в Университете Манхейма. Использует решения антивирусов для обнаружения вредоносов. Проект был начат как тема диплома, сейчас ведётся развитие и дальнейшая разработка.
- Spy-Bye — позволяет определить является ли веб-сайт опасным за счёт набора эвристических и сканирующих техник одного из антивирусов.
Программы высокого взаимодействия
- WEF — разработан тремя студентами из Штутгарта в 2006. Может быть использован как активная сеть АСООС с полной виртуализацией архитектуры.
- UW Spycrawler — разработан в Университете Вашингтона в 2005. Недоступен широким массам. Использует наблюдение за файлами, процессами, реестром и ходом работы браузера.
- SHELIA — разработан в Университете Амстердама Врие. Присоединяется к почтовому агенту. Следит за исполнением кода в области данных в памяти, что может являться сработавшим эксплойтом переполнения буфера. Предотвращает срабатывание эксплойта.
- HoneyMonkey — основан на IE, разработан Microsoft в 2005. Недоступен для широких масс.
- HoneyClient — основан на IE и Firefox. Разработан в 2004 на языке Perl.
- Capture-HPC — разработан в Университете Виктории Веллингтона. Поддерживает все крупные браузеры. Один из самых развитых АСООС на сегодняшний день.
Ссылки
- Spitzner L. Honeypots: Tracking Hackers — Addison-Wesley, 2002
- Статья о Honeypot
- Spitzner L. honeypots — basics
- Riden J. Detecting Botnets Using a Low Interaction Honeypot, 2006
- Михеев Д. Журнал "Information Security/ Информационная безопасность" № 2-2007 Приманка для мух: технологии honeypot
- Статья о Client Honeypot
- Know Your Enemy
- Honeypot: приманка для злоумышленника
- Spitzner L. Dynamic Honeypots, 2003
- Danford R. 2nd Generation Honeyclients
- Riden J., Seifert C. A Guide to Different Kinds of Honeypots, 2008
- Riden J., McGeehan R., Engert B., Mueter M. Using Honeypots to learn about HTTP-based attacks