Client honeypot

Материал из Википедии — свободной энциклопедии
Перейти к: навигация, поиск

Активная система обнаружения опасных серверов (АСООС от англ. client honeypot) — это активные механизмы, которые сами ищут опасные ресурсы. То есть этот механизм должен посетить некоторый удалённый ресурс (или воспользоваться службой) и собрать о нём информацию, на основе которой можно заключить, является ли данный ресурс опасным. Таким образом, АСООС преследует цели обнаружить опасные сервера, либо найти новые способы взлома, используемые злоумышленниками. Пассивные системы называют СОВ.

В настоящее время используется ряд классификаций АСООС, основанных на разных признаках. Так, по уровню взаимодействия выделяют два класса: АСООС высокого и низкого уровня взаимодействия. Под уровнем взаимодействия здесь подразумевается количество функций доступных удалённому ресурсу, с которым и «общается» система. Иными словами, если реализация АСООС представляет собой реальную информационную систему (то есть реализует полный набор функций имитируемой системы и обладает всеми её свойствами), то ее относят к классу высокого взаимодействия. Если же он только эмулирует некоторые функциональные возможности системы (то есть не обладает всеми свойствами реальной информационной системы и набором функций для взаимодействия), тогда его относят к классу низкого взаимодействия. Такие системы ещё называют виртуальными.

Уровень взаимодействия Сложность установки и управления Уровень риска Уровень достоверности Количество собираемой информации !
Низкий Низкая Низкий Низкий Низкое
Высокий Высокая Высокий Высокий Высокое

В общем случае система может посещать внешние ресурсы любого типа, в любой сети, как внешней, так и внутренней. Но наиболее остро стоит вопрос в посещении Интернет страниц браузером.

Программы низкого взаимодействия[править | править исходный текст]

  • HoneyC — разработан в Университете Виктории Велингтона в 2006 году. Написан на языке Ruby. Опасные сервера засекаются за счёт статической проверки ответа веб-сервера на наличие опасной строки используя сигнатуры Snort. (Snort — одна из реализаций СОВ)
  • Monkey-Spider — разработан в Университете Манхейма. Использует решения антивирусов для обнаружения вредоносов. Проект был начат как тема диплома, сейчас ведётся развитие и дальнейшая разработка.
  • Spy-Bye — позволяет определить является ли веб-сайт опасным за счёт набора эвристических и сканирующих техник одного из антивирусов.

Программы высокого взаимодействия[править | править исходный текст]

  • WEF — разработан тремя студентами из Штутгарта в 2006. Может быть использован как активная сеть АСООС с полной виртуализацией архитектуры.
  • UW Spycrawler — разработан в Университете Вашингтона в 2005. Недоступен широким массам. Использует наблюдение за файлами, процессами, реестром и ходом работы браузера.
  • SHELIA — разработан в Университете Амстердама Врие. Присоединяется к почтовому агенту. Следит за исполнением кода в области данных в памяти, что может являться сработавшим эксплойтом переполнения буфера. Предотвращает срабатывание эксплойта.
  • HoneyMonkey — основан на IE, разработан Microsoft в 2005. Недоступен для широких масс.
  • HoneyClient — основан на IE и Firefox. Разработан в 2004 на языке Perl.
  • Capture-HPC — разработан в Университете Виктории Велингтона. Поддерживает все крупные браузеры. Один из самых развитых АСООС на сегодняшний день.

Смотрите также[править | править исходный текст]

Список источников[править | править исходный текст]