Please use this identifier to cite or link to this item: http://ena.lp.edu.ua:8080/handle/ntb/10426
Title: Вдосконалення принципів побудови та функціонування приманок в задачах захисту комп’ютерних систем та мереж
Other Titles: Усовершенствование принципов построения и функционирования ловушек в задачах защиты компьютерных систем и сетей
Improving the principles of construction of honeypot systems for protection of computer systems and networks
Authors: Тимошик, Назар Петрович
Bibliographic description (Ukraine): Тимошик Н. П. Вдосконалення принципів побудови та функціонування приманок в задачах захисту комп'ютерних систем та мереж : автореферат дисертації на здобуття наукового ступеня кандидата технічних наук : 05.13.05 – комп’ютерні системи та компоненти / Назар Петрович Тимошик ; Національний університет "Львівська політехніка". – Львів, 2010. – 20 с. – Бібліографія: с. 20–21 (12 назв).
Issue Date: 2010
Publisher: Національний університет "Львівська політехніка"
Keywords: honeypot
honeynet
security
virtual machines
hypervisor
Linux kernel
IDS signatures
GMDH
denied of service (DoS)
information collection
intrusion detection
attack detection
analysis of incidents
ловушки
виртуализация
аудит виртуальных машин
защита информации
сбор информации
метод группового учета аргументов
отказ в обслуживании
приманки
пастки
віртуалізація
аудит віртуальних машин
захист інформації
збір інформації
метод групового врахування аргументів
відмова в обслуговуванні
виявлення атак
аналіз інциденту
системні виклики
ядро Лінукс ( Linux)
гіпервізор
Abstract: Дисертація присвячена питанням вдосконалення повно-інтерактивних приманок із забезпеченням стійкої до виявлення та блокування зловмисником систем реєстрації подій та знімання інформації з каналів взаємодії зловмисника та приманки. Розроблено нові підходи до розв’язання поставлених задач на основі бінарної реконструкції команд віртуального процесора на гіпервізорі Qemu. Досліджено та розроблено нові методи реєстрації та моніторингу зламу комп’ютерних систем. Розроблено математичну модель та підсистему протидії атакам на доступність та функціональність приманок. Запропоновані та розроблені методи дозволили програмно реалізувати систему захисту та моніторингу приманок під назвою “Система збору інформації та аналізу приманок” (СЗІАП). Розроблено поведінкову модель взаємодії між зловмисником та приманкою яка дозволила обирати параметри моніторингу подій у приманці. Диссертация посвящена исследованию вопросов совершенствования полно-интерактивных ловушек с обеспечением устойчивой к выявлению и блокированию злоумышленником системы регистрации и мониторинга событий. Разработаны новые подходы к решению поставленных задач на основе бинарной реконструкции команд виртуального процессора. Исследованы и разработаны новые методы регистрации и мониторинга взлома компьютерных систем. Разработана математическая модель и подсистема противодействия атакам на доступность и функциональность приманок. Предложенные и разработанные методы позволили программно реализовать систему защиты и мониторинга приманок под названием “Система сбора информации и анализа ловушек” (ССИАЛ). Разработано поведенческую модель взаимодействия между злоумышленником и ловушкой, позволившую выбирать параметры мониторинга событий в приманке. The dissertation is devoted to research on improving the height interactive honeypots with providing proof to identify and block registration and event monitoring systems by malicious. New approaches to solve that problem based on the virtualization approach and binary reconstruction of system calls passed thought virtual processor. Researched and developed new methods of registration and monitoring of fracture of computer systems, algorithms and mathematical model subsystem against attacks on the availability and functionality of honeypots. Also improved mechanisms of hiding virtual environment and all virtual devices, to protect honeypot from identification and future attack. Proposed and developed methods have allowed the program to realize system protection and monitoring honeypots called "System of information gathering and analysis of Honeypots (SoIGAH). A behavioural model of interaction between the attacker and the honeypot is allowed to choose options for monitoring events in the honeypot. First suggested segmenting the data model during the attack at the interaction between the attacker and the honeypot that allow increasing the accuracy of registration events related to the attack. Proposed and described a new method for controlling the set of system calls, combined with the control lines of events that allow studying ways to malicious manipulation during the attack on the application service. Developed mathematical models for new method of identifying DoS attacks on server that host virtual honeypot and for some services inside honeypot OS. Based on this method was possible to identify and introduce ways of access attempts, allowing us to automate analysing attacks. All systems developed generally for Linux kernel 2.4-2.6. SoIGAH consist of IDS sub-system (Snort based), file system IDS, experimental subsystem for blocking malicious system calls and system calls tracking mechanism, processes monitoring subsystem and subsystem for binary translate system events in honeypot. Dataset of malefactor behaviour contain a lot of well-known attack scenarios and also some new (got while experimenting with SoIGAH). The experimental results show that 40% of automated attacks on the corporate network are automatically processed online by our honeynet. By using equivalent parameters (as in Sebek v.3) our system show lower workload at monitoring system that confirms the efficacy, which made gains in productivity by 15%. This approach of controlling virtual operating systems also can be used to protect the operating system on hypervisor level, which is the newest approach in designing systems to protect information in enterprise systems.
URI: http://ena.lp.edu.ua:8080/handle/ntb/10426
Content type: Autoreferat
Appears in Collections:Автореферати та дисертаційні роботи

Files in This Item:
File Description SizeFormat 
avt_01339707.doc5,05 MBMicrosoft WordView/Open


Items in DSpace are protected by copyright, with all rights reserved, unless otherwise indicated.