AUEB Library - Digital Repository

PYXIDA Institutional Repository
and Digital Library

Username
Password

Collections :	Ιδρυματικό Αποθετήριο ΟΠΑ / AUEB Institutional Repository Σχολή Επιστημών και Τεχνολογίας της Πληροφορίας / School of Informatics Τμήμα Πληροφορικής / Department of Informatics Μεταπτυχιακές Εργασίες / Postgraduate dissertations

Title :	Honeypot installation and utilization on detecting attack patterns and threat intelligence

Creator :	Konstantzos, Achilleas

Contributor :	Douskas, Theodoros (Επιβλέπων καθηγητής) Stergiopoulos, George (Εξεταστής) Athens University of Economics and Business, Department of Informatics (Degree granting institution)

Type :	Text

Extent :	88 p.

Language :	en

Identifier :	http://www.pyxida.aueb.gr/index.php?op=view_object&object_id=6645

Abstract :	This diploma thesis aims at studying and demonstrating the role of honeypots as a means of adopting active defense practices in cyber security. Its purpose is to describe several possible implementations of the honeypot concept in both perimeter security and research, analyze different deployment strategies and deception techniques, and present their contribution to security as well as the problems that may arise from their use. The thesis covers honeypots as described in international literature followed by a custom deployment of a honeynet lab which was hosted in the premises of a Greek cyber security services company. The lab includes three honeypot virtual machines, simulating five high-vulnerability digital services: SSH and telnet remote access, SIP/PJSIP VoIP telephony protocols, and a Wordpress-based web page. These honeypots forward logs to a virtual machine hosting a SIEM (Security Information and Event Management) system, parsing them and collecting threat intelligence. The process of configuring the honeypot network as well as security hardening and isolation is also presented. Findings extracted during the operation of the honeynet lab include the detection of tens of thousands of attacks while recording their attack patterns. Attack types of dominant frequency were selected to be analyzed in terms of their techniques and motives. Finally, the value of honeypots in local security hardening and threat intelligence research is estimated, in correlation with lessons learnt from this specific lab. Future development of the lab is also outlined. Η παρούσα διπλωματική εργασία αποσκοπεί στην μελέτη και την παρουσίαση του ρόλου των honeypots σα μέσο ιυοθέτησης πρακτικών ενεργητικής άμυνας στην κυβερνοασφάλεια. Στόχος της είναι η περιγραφή διαφορετικών προσεγγίσεων της έννοιας του honeypot στην ασφάλεια υποδομών και την έρευνα, η ανάλυση των πιθανών μεθόδων διάταξης και των τεχνικών παραπλάνησης, και η παρουσίαση της συνεισφοράς του στην ασφάλεια όπως και των προβλημάτων που μπορεί να προκύπτουν από την χρήση του. Η εργασία καλύπτει τα honeypots όπως περιγράφονται στη διεθνή βιβλιογραφία και ακολουθεί η εγκατάσταση ενός εργαστηριακού δικτύου από honeypot, φιλοξενούμενο στις εγκαταστάσεις μιας ελληνικής εταιρίας παροχής υπηρεσιών κυβερνοασφάλειας. Το εργαστηριακό δίκτυο περιλαμβάνει τρείς εικονικούς υπολογιστές honeypot, που προσομοιοώνουν πέντε ψηφιακές υπηρεσίες υψηλής επικυνδινότητας: απομακρυσμένη πρόσβαση μέσω SSH και telnet, πρωτόκολλα ψηφιακής τηλεφωνίας SIP/PJSIP, καθώς και μια ιστοσελίδα βασισμένη σε Wordpress. Τα honeypot αυτά προωθούν αρχεία καταγραφής σε έναν εικονικό εξυπηρετητή που περιλαμβάνει ένα σύστημα SIEM (Security Information and Event Management), το οποίο αποκωδικοποιεί τα αρχεία και συλλέγει πληροφορίες για τις απειλές. Αναλύονται επίσης οι διαδικασίες εγκατάστασης όπως και οι διαδικασίες διασφάλισης και απομώνωσης του δικτύου των honeypots. Τα ευρήματα περιλαμβάνουν τον εντοπισμό δεκάδων χιλιάδων επιθέσεων των οποίων καταγράφονται τα στοιχεία επίθεσης. Στη συνέχεια επιλέγονται επιθέσεις υψηλής συχνότητας και αναλύονται σε σχέση με τις μεθόδους επίθεσης καθώς και τα κίνητρα τους. Τέλος, εκτιμάται η αξία των honeypots στην τοπική ασφάλεια και την έρευνα απειλών σε σύνδεση με την αποκτηθείσα εμπειρία απο το συγκεκριμένο εργαστηριακό δίκτυο. Αναφέρονται επίσης μελλοντικές επεκτάσεις και βελτιστοποιήσεις του.

Abstract :

This diploma thesis aims at studying and demonstrating the role of honeypots as a means of adopting active defense practices in cyber security. Its purpose is to describe several possible implementations of the honeypot concept in both perimeter security and research, analyze different deployment strategies and deception techniques, and present their contribution to security as well as the problems that may arise from their use. The thesis covers honeypots as described in international literature followed by a custom deployment of a honeynet lab which was hosted in the premises of a Greek cyber security services company. The lab includes three honeypot virtual machines, simulating five high-vulnerability digital services: SSH and telnet remote access, SIP/PJSIP VoIP telephony protocols, and a Wordpress-based web page. These honeypots forward logs to a virtual machine hosting a SIEM (Security Information and Event Management) system, parsing them and collecting threat intelligence. The process of configuring the honeypot network as well as security hardening and isolation is also presented. Findings extracted during the operation of the honeynet lab include the detection of tens of thousands of attacks while recording their attack patterns. Attack types of dominant frequency were selected to be analyzed in terms of their techniques and motives. Finally, the value of honeypots in local security hardening and threat intelligence research is estimated, in correlation with lessons learnt from this specific lab. Future development of the lab is also outlined.
Η παρούσα διπλωματική εργασία αποσκοπεί στην μελέτη και την παρουσίαση του ρόλου των honeypots σα μέσο ιυοθέτησης πρακτικών ενεργητικής άμυνας στην κυβερνοασφάλεια. Στόχος της είναι η περιγραφή διαφορετικών προσεγγίσεων της έννοιας του honeypot στην ασφάλεια υποδομών και την έρευνα, η ανάλυση των πιθανών μεθόδων διάταξης και των τεχνικών παραπλάνησης, και η παρουσίαση της συνεισφοράς του στην ασφάλεια όπως και των προβλημάτων που μπορεί να προκύπτουν από την χρήση του. Η εργασία καλύπτει τα honeypots όπως περιγράφονται στη διεθνή βιβλιογραφία και ακολουθεί η εγκατάσταση ενός εργαστηριακού δικτύου από honeypot, φιλοξενούμενο στις εγκαταστάσεις μιας ελληνικής εταιρίας παροχής υπηρεσιών κυβερνοασφάλειας. Το εργαστηριακό δίκτυο περιλαμβάνει τρείς εικονικούς υπολογιστές honeypot, που προσομοιοώνουν πέντε ψηφιακές υπηρεσίες υψηλής επικυνδινότητας: απομακρυσμένη πρόσβαση μέσω SSH και telnet, πρωτόκολλα ψηφιακής τηλεφωνίας SIP/PJSIP, καθώς και μια ιστοσελίδα βασισμένη σε Wordpress. Τα honeypot αυτά προωθούν αρχεία καταγραφής σε έναν εικονικό εξυπηρετητή που περιλαμβάνει ένα σύστημα SIEM (Security Information and Event Management), το οποίο αποκωδικοποιεί τα αρχεία και συλλέγει πληροφορίες για τις απειλές. Αναλύονται επίσης οι διαδικασίες εγκατάστασης όπως και οι διαδικασίες διασφάλισης και απομώνωσης του δικτύου των honeypots. Τα ευρήματα περιλαμβάνουν τον εντοπισμό δεκάδων χιλιάδων επιθέσεων των οποίων καταγράφονται τα στοιχεία επίθεσης. Στη συνέχεια επιλέγονται επιθέσεις υψηλής συχνότητας και αναλύονται σε σχέση με τις μεθόδους επίθεσης καθώς και τα κίνητρα τους. Τέλος, εκτιμάται η αξία των honeypots στην τοπική ασφάλεια και την έρευνα απειλών σε σύνδεση με την αποκτηθείσα εμπειρία απο το συγκεκριμένο εργαστηριακό δίκτυο. Αναφέρονται επίσης μελλοντικές επεκτάσεις και βελτιστοποιήσεις του.

Subject :	Honeypots Cyber security Defense Attack Ενεργητική άμυνα Κυβερνοεπιθέσεις

Date Available :	2019-01-03 17:11:12

Date Issued :	2018

Date Submitted :	2019-01-03 17:11:12

Access Rights :	Free access

Licence :

File: Konstantzos_2019.pdf

Type: application/pdf

Login