Management and Analytical Software for Data Gathered from HoneyPot System

Krzysztof Cabaj , Marek Denis , Michał Buda

Abstract

Security of computer systems directly connected to the Internet, especially web applications, becomes more and more important each day. The usage of thousands compromised computers for continuous searching for vulnerabilities in computer systems, inevitably leads to next successful attacks. In order to learn motives, tactics and tools used nowadays by the attackers, HoneyPot systems can be easily utilized. The HoneyPot is specially crafted and configured machine, or only a chosen service, which is connected to the internet as a trap for attackers. However, those systems are not used for the production purposes, as its only role is associated with gathering as many information as possible while is being compromised. Software used for implementing various types of HoneyPot systems is easily available. Nonetheless, there is lack of software which could support analysis of gathered data. Using knowledge acquired during many years of HoneyPot system operation and analysis of collected data, the support software was developed and integrated with operational HoneyPot systems. The paper describes details concerning novel systems used for analysis and the result of data gathered from two various HoneyPot systems, implemented at Institute of Computer Sciense, Warsaw University of Technology. The first system uses data mining techniques for the automatic discovery of interesting patterns in connections directed to the HoneyPot. The second one is responsible for the collection and the initial analysis of attacks dedicated to the web applications, which nowadays is becoming the most interesting target for cybercriminals. The paper presents results from almost a year usage, with implemented prototypes, which prove it's practical usefulness. The person performing analysis improves effectiveness by using potentially useful data, which is initially filtered from noise, and automatically generated reports. The usage of data mining techniques allows not only detection of important patterns in rapid manner but also prevents from overlooking interesting patterns in vast amounts of other irrelevant data.
Author Krzysztof Cabaj (FEIT / IN)
Krzysztof Cabaj,,
- The Institute of Computer Science
, Marek Denis (FEIT / IN)
Marek Denis,,
- The Institute of Computer Science
, Michał Buda (FEIT / IN)
Michał Buda,,
- The Institute of Computer Science
Journal seriesInformation Systems in Management, ISSN 2084-5537
Issue year2013
Vol2
No3
Pages182-193
Abstract in PolishBezpieczeństwo systemów bezpośrednio podłączonych do sieci Internet, a w szczególności aplikacji webowych, stało się dzisiaj sprawą krytyczną. Wykorzystanie tysięcy zainfekowanych komputerów do nieustannego przeszukiwania Internetu powoduje, że jakiekolwiek, nawet najmniejsze podatności zostają szybko wykryte i wykorzystane przez cyberprzestępców. W celu śledzenia taktyki atakujących, interesujących ich aplikacji oraz pośrednio poznania motywów działania coraz częściej wykorzystuje się tak zwane systemy HoneyPot. Są to specjalnie skonfigurowane maszyny lub jedynie określone usługi, będące pułapkami na cyberprzestępców. Nie pełnią one żadnej produkcyjnej roli a jedynym celem ich uruchomienia jest zebranie szczegółowych informacji dotyczących sposobu przeprowadzenia skierowanych na nie ataków. Oprogramowanie służące do budowy systemów HoneyPot jest ogólnie dostępne, brakuje natomiast dobrych narzędzi wspomagających osoby zajmujące się analizą danych uzyskanych podczas działania systemów HoneyPot. Na podstawie doświadczeń związanych z wieloletnią manualną analizą danych uzyskanych z tej klasy systemów zostały zaprojektowane, zaimplementowane oraz wdrożone systemy wpierające analityków. W pracy szczegółowo omówiono nowatorskie systemy służące do analizy i prezentacji danych uzyskiwanych z dwóch różnych systemów HoneyPot wdrożonych w Instytucie Informatyki Politechniki Warszawskiej. Pierwszy z systemów wykorzystuje metody eksploracji danych w celu automatycznego wykrywania interesujących wzorców w połączeniach sieciowych skierowanych do systemu HoneyPot. Drugi z opisywanych systemów służy do zbierania oraz analizy danych dotyczących ataków dedykowanych aplikacjom webowym - aktualnie będących głównym celem cyberprzestępców. W pracy zaprezentowano wnioski z prawie rocznej pracy z prototypami, które wykazały ich praktyczną przydatność. Osoby analizujące zebrane dane oszczędzają czas między innymi dzięki wstępnemu odsianiu nieistotnych danych oraz automatycznie generowanym raportom. Zastosowanie metod odkrywania wiedzy pozwoliło szybciej zidentyfikować, a czasem nawet nie przeoczyć istotnych wzorców ukrytych wśród dzisiaj powszechnego szumu dochodzącego z Internetu.
Languageen angielski
File
Vol_2(3)_182-193.pdf 2.43 MB
Score (nominal)5
Score sourcejournalList
ScoreMinisterial score = 5.0, 14-05-2020, ArticleFromJournal
Ministerial score (2013-2016) = 5.0, 14-05-2020, ArticleFromJournal
Publication indicators GS Citations = 7.0
Citation count*7 (2020-08-27)
Cite
Share Share

Get link to the record


* presented citation count is obtained through Internet information analysis and it is close to the number calculated by the Publish or Perish system.
Back
Confirmation
Are you sure?