Journal of the Institute of Electronics and Information Engineers (전자공학회논문지)

The Institute of Electronics and Information Engineers (대한전자공학회)
권호 표지
DOI QR코드

DOI QR Code

A Study for Hybrid Honeypot Systems

하이브리드 허니팟 시스템에 대한 연구

  • Lee, Moon-Goo (Div. of Smart IT, Dept. of Internet Information, Kimpo College)
  • 이문구 (김포대학교 스마트 IT학부 인터넷정보과)
  • Received : 2014.09.03
  • Accepted : 2014.10.30
  • Published : 2014.11.25
Download PDF
⟨ Previous Next ⟩

Abstract

In order to protect information asset from various malicious code, Honeypot system is implemented. Honeypot system is designed to elicit attacks so that internal system is not attacked or it is designed to collect malicious code information. However, existing honeypot system is designed for the purpose of collecting information, so it is designed to induce inflows of attackers positively by establishing disguised server or disguised client server and by providing disguised contents. In case of establishing disguised server, it should reinstall hardware in a cycle of one year because of frequent disk input and output. In case of establishing disguised client server, it has operating problem such as procuring professional labor force because it has a limit to automize the analysis of acquired information. To solve and supplement operating problem and previous problem of honeypot's hardware, this thesis suggested hybrid honeypot. Suggested hybrid honeypot has honeywall, analyzed server and combined console and it processes by categorizing attacking types into two types. It is designed that disguise (inducement) and false response (emulation) are connected to common switch area to operate high level interaction server, which is type 1 and low level interaction server, which is type 2. This hybrid honeypot operates low level honeypot and high level honeypot. Analysis server converts hacking types into hash value and separates it into correlation analysis algorithm and sends it to honeywall. Integrated monitoring console implements continuous monitoring, so it is expected that not only analyzing information about recent hacking method and attacking tool but also it provides effects of anticipative security response.

다양한 악성코드로부터 정보자산을 보호하기 위해서 허니팟 시스템을 구축한다. 허니팟 시스템은 내부 시스템이 공격받지 않도록 공격을 유인하는 목적으로 설계되거나, 악성코드 정보를 수집하기 위한 목적으로 설계된다. 그러나 기존의 하니팟은 정보 수집을 목적으로 구축되었기 때문에 위장서버 혹은 위장 클라이언트 서버를 구축하거나 위장 콘텐츠를 제공하여 공격자의 유입을 적극적으로 유도하도록 설계되었다. 그러나 위장서버구축의 경우는 빈번한 디스크 입출력으로 약 1년 주기로 하드웨어를 재설치하여야 하고, 위장 클라이언트 서버를 구축하는 경우는 획득한 정보 분석의 자동화에는 한계가 있기 때문에 전문 인력 확보와 같은 운영상의 문제가 있다. 이처럼 기존 허니팟의 하드웨어적인 문제와 운영상의 문제들을 해결 및 보완할 수 있도록 본 연구에서는 하이브리드 허니팟을 제안하였다. 제안한 하이브리드 허니팟은 허니월, 분석서버, 통합콘솔을 두고 공격유형을 2가지 유형으로 분류하여 처리한다. 유형1인 고수준 상호작용서버와 유형2인 저수준 상호작용서버를 동작하도록 하여 위장(유인용)과 거짓응답(에뮬레이션)이 공통스위치 영역에 연계되도록 설계하였다. 이러한 하이브리드 허니팟은 허니월의 저수준 허니팟과 고수준 허니팟을 동작하도록 한다. 분석서버는 해킹유형을 해쉬값으로 변환하고 이를 상관분석 알고리즘으로 분리하여 허니월에 전송한다. 통합모니터링 콘솔은 지속적인 모니터링을 실시하므로 최신 해킹기법과 공격 툴에 대한 정보 분석뿐만 아니라 악성코드에 대한 선제적인 보안대응 효과를 제공할 수 있을 것으로 기대한다.

Keywords

References

  1. M. Cova, C. Kruegel, G. Vigna, "Detection and Analysis of Drive-by-Download Attacks and Malicious JavaScript Code", IW3C2, Apr. 2010.
  2. M. Egele, P. Wurzinger, C. Kruegel and E. Kirda, "Defending browsers against drive-by downloads: Mitigating heap spraying code injection attacks," 2009. Available from http://www.iseclab.org/papers/ driveby.pdf; accessed on 15 May. 2010.
  3. B. Endicott-popovsky, J. Narvaez, C. Seifert, D. A. Frincke, L. R. O'Neil, and C. Aval, "Use of deception to improve client honeypot detection of drive-by-download attacks," Proc. of the 5th Inter-national Conference on Foundations of Augmented Cognition (FAC), 2009.
  4. KrCERT, "Monthly Report: Internet Incident Trends and Analysis", Mar. 2009.
  5. H. Kim, D. Kim, S. Cho, M. Park, M. Park, "An efficient visitation algorithm to improve the detection speed of high-ineraction client honeypots" RACS 2011, Nev. 2-5, 2011.
  6. C. Seifert, P. Komisarczuk, and I. Welch, "True Positive Cost Curve: A Cost-Based Evaluation Method for High-Interaction Client Honeypots", SECUREWARE, 2009.
  7. Janaka Deepakumara, Howard Heys and R. Venkatesan, "FPGA Implementation of MD5 Hash Algorithm", Canadian Conference on Electrical and Computer Engineering, Vol.2, pp.13-16, May. 2001.
  8. Diez J. M., et al., "Hash Algorithm for Cryptographic Protocols: FPGA Implementations", 10th TELFOR' 2002, Nov. 2002.
  9. Hayes, A. F., "Statistical methods for communication science", 2005
  10. Gravetter, F. J., & Wallnau, L B."Statistics for the behavioral sciences 8th ed.", 2008.