تنظیم فایروال مبتنی بر Honeypot برای جلوگیری از حمله

هانی پات (Honeypot) یک تکنیک به دام انداختن شناخته شده است که توسط متخصصان امنیت شبکه و اینترنت اشیا (IoT) برای فریب دادن مزاحمان استفاده می شود. برخلاف اقدامات امنیتی سنتی، در این روش می توان اطلاعات را در زمان واقعی از مهاجم در مورد نحوه حمله دریافت کرد. فایروال شبکه از سرورهای اینترنت در برابر ترافیک ناخواسته و مخرب محافظت می کند. شناسایی باج افزار با سیستم های امنیتی موجود مانند IDPS (سیستم تشخیص نفوذ و حفاظت) و AV (آنتی ویروس) دشوار و وقت گیر است.



در این مقاله، یک هانی پات ترکیبی جدید در داکر (Docker) برای تشخیص رفتار مهاجم برمبنای تنظیم فایروال پیشنهاد شده است. این روش پیشنهادی شامل هر دو حالت هانی پات با تعامل کم و هانی‌پات با تعامل بالا برای جذب مهاجم مخرب و تجزیه و تحلیل الگوهای رفتاری است.در واقع نوعی طعمه که برای شناسایی یا مسدود کردن حملات، یا منحرف کردن توجه مهاجم از خدمات قانونی و تنظیم فایروال طراحی شده است. در این روش فعالیت باج افزار، روند حمله و تصمیم گیری به موقع از طریق استفاده از یک قانون موثر شناسایی شده و سپس فایروال تنظیم می شود . چارچوب پیشنهادی با روش‌های موجود مانند HyInt، IDS و IDS مبتنی بر هانی پات مقایسه می‌شود. سیستم پیشنهادی دارای دقت بالاتر حدود 86% است در حالی که سیستم های موجود فعلی در بازار مانند HyInt، IDS و IDS مبتنی بر هانی پات به  دقت های 73.25%، 76.75% و 81.25% دست یافته اند.

داکر (Docker) یک پلتفرم نرم‌افزاری است که عملیات ساخت، اجرا، مدیریت و توزیع اپلیکیشن‌ها را ساده‌تر می‌کند. داکر این ساده‌سازی فرایند ایجاد اپلیکیشن‌ها را به وسیله مجازی‌سازی سیستم عامل کامپیوتری انجام می‌دهد که اپلیکیشن قرار است روی آن نصب و اجرا شود. در واقع، داکر مجموعه‌ای از محصولات پلتفرم به عنوان یک سرویس (PaaS) است که از مجازی‌سازی در سطح سیستم عامل برای تولید بسته‌های نرم‌افزاری استفاده می‌کند.

اهمیت هانی پات در اینترنت اشیاء

اینترنت اشیا (IoT) یکی از امیدوارکننده‌ترین فناوری‌ها برای ایجاد شبکه‌ای از ماشین‌ها و ابزارهای هوشمند در سراسر دنیا می باشد که در نهایت تقریباً تمام جنبه‌های زندگی ما را تحت تأثیر قرار می‌دهند. سیستم‌های اینترنت اشیا ، اغلب به عنوان مجموعه‌ای از دستگاه‌های زیربنایی مدل‌سازی و توسط الگوریتم‌هایی با هدف بهبود عملکرد برنامه ریزی می شوند. حجم عظیمی از داده ها توسط نودهای اینترنت اشیا جمع آوری می شود. این داده ها با استفاده از فناوری های مختلفی مانند محاسبات لبه، رایانش مه یا محاسبات مه (fog computing)  و محاسبات ابری تجزیه و تحلیل می شوند. در رایانش ابری، داده های ارائه شده از یک شبکه IoT به اشتراک گذاشته می شود و می تواند با حداقل تعامل مدیریت یا ارائه دهنده خدمات، به سرعت ارائه و منتشر شود. یک مهاجم یا مزاحم سیستم در حال حاضر بزرگترین تهدید برای امنیت شبکه IoT است .



با استفاده از برنامه های وب، مجرمان سایبری شانس بیشتری برای به دست آوردن اطلاعات خصوصی کاربران دارند. اولین قدم در پیشگیری از حملات سایبری ، درک ماهیت و ابزارهای حملات می باشد. یکی از راه های تشخیص حملات با این ماهیت استفاده از هانی پات است. به منظور جذب مهاجمان و نظارت بر اقدامات آنها، هانی پات ها عمداً در معرض فعالیت های مخرب قرار می گیرند .تا کنون هانی پات ها برای مطالعه و تجزیه و تحلیل چندین جرایم سایبری مانند ایمیل های ناخواسته، فیشینگ، سرقت هویت و حملات انکار سرویس استفاده شده اند . تا حد زیادی تکنیک های مبهم سازی ویروس و پلی مورفیسم از تمایز بات نت های خاص از میزبان های کمتر خطرناک توسط این الگوریتم های تشخیص بات نت جلوگیری می کند.

چندریختی یا پلی‌مورفیسم (Polymorphism )، هنر بهره‌برداری از این ویژگی ساده و در عین حال قدرتمند و کاربردی است که متدلوژی شی‌گرایی را به حد کامل توانایی‌اش می‌رساند. مفهوم چندریختی ویژگی است که به رابط‌ها امکان می‌دهد تا برای گروهی از عملیات‌ها مورد استفاده قرار گیرند.
بیشتر ذخیره‌سازی‌های ابری از روش‌های همگام‌سازی فایل برای حفظ ثبات فایل استفاده می‌کنند و به باج‌افزار اجازه می‌دهند به راحتی به فایل‌ها در محیط‌های ابری آسیب بزنند . شناسایی بات‌نت‌ها و باج‌افزارها می‌تواند نسبتاً چالش برانگیز باشد، اما هانی‌پات‌ها به راحتی می‌توانند آن را ساده کنند . استفاده از هانی پات ها به ویژه هنگام شناسایی بات نت ها مفید است. از آنجایی که اتصالات هانی پات هیچ فعالیت تولیدی ندارند، اساساً هیچ مثبت یا منفی کاذبی هنگام شناسایی اسکن ها یا حملات غیرقانونی وجود ندارد .

هانی پات وسیله ای است که نقشه حمله مهاجم را ثبت وضبط می کند. بنابراین حمله توسط هانی پات نه متوقف می شود و نه کند می شود. برای دستگیری یک مهاجم، این طعمه باید خود را به عنوان یک محیط واقعی نشان دهد و مهاجمین را به سوی خود سوق دهد. مهاجمان به اشتباه Honeypot ها را یک سیستم کاربردی فرض کرده و به آنها حمله می کنند. با استفاده از اطلاعات ارائه شده توسط Honeypot می توان سیستم های با امنیت بالا ایجاد کرد.

در سال 2018، المهندی،یک تکنیک جدید اطلاعات تهدید را پیشنهاد کرد که داده‌های گزارش هانی پات را برای شناسایی رفتار مهاجم و یافتن روند حمله ارزیابی می‌کند. آنها یک هانی پات را روی یک ابر AWS برای جمع‌آوری داده‌های گزارش حوادث سایبری راه‌اندازی کرده‌اند تا به این هدف دست یابند.در همین سال ، راوجی، چارچوب و مدلی را پیشنهاد کردند که برای هماهنگی IDPS (سیستم تشخیص نفوذ و حفاظت) و استفاده از هانی پات توسط یک سازمان مؤثر باشد. یک سیستم پیشگیری از نفوذ پیشنهادی که از هر دو تشخیص ناهنجاری (AD) و تشخیص امضا (SD) برای شناسایی حملات مختلف و جلوگیری از دسترسی آنها (IPS) استفاده می کند.

روش پیشنهادی هیبریدی در شکل زیر ارائه شده است که دارای یک سرور ترکیبی Honeynet با سیستم تعامل کم و تعامل بالا در لایه DMZ در شبکه است. ترافیک توسط سرور Honeypot ضبط و تجزیه و تحلیل می شود و هرگونه حمله مستقیم را شناسایی کرده و اطلاع رسانی می کند و در پایگاه داده ذخیره می شود. سپس بر اساس قوانین تدوین شده، فرآیند مخرب توسط فایروال شناسایی و حذف شده است. در این تحقیق از رفتار مهاجم و همچنین ابرداده برای رسیدگی به مشکل استفاده می شود.



حملات باج افزارهای اخیر نشان داده است که در تمام دستگاه های IoT، شامل رایانه های رومیزی، تلفن های هوشمند و شبکه های ابری، در برابر این بدافزارها آسیب پذیر هستند. برای غلبه بر این مشکلات، یک روش تشخیص پس از حمله مبتنی بر Honeypot پیشنهاد و اجرا شده است. در این روش در درجه اول برای ایجاد فایل های نادرست و پوشه های فریب در هر پارتیشن دیسک استفاده می شود تا معیارهای رمزگذاری باج افزار را برآورده کند. برای اینکه مهاجم نتواند ابتدا فایل واقعی را رمزگذاری کند، ابتدا پوشه decoy رمزگذاری می شود. پوشه های Decoy به صورت تصادفی در صورت حملات باج افزار تولید می شوند و حاوی فایل های تصادفی از همه نوع هستند. نتیجه در پایگاه داده ذخیره می شود که برای تنظیم فایروال قابل دسترسی است.

هانی نت هیبریدی

در حالی که شبکه‌ها را برای رفتارهای بالقوه مضر رصد می‌کنند، سیستم‌های تشخیص نفوذ نیز نسبت به تولید آلارم‌های کاذب آسیب‌پذیر هستند. از این رو یک سیستم Honeynet ترکیبی  که رفتار مهاجم را ثبت می کند مفید می باشد. هانی پات ها در خوشه هایی به نام Honeynets دسته بندی می شوند تا از تبدیل شدن به واحدهای مستقل جلوگیری کنند. هانی نت ترکیبی از هر دو هانی پات با تعامل کم و هانی پات با تعامل بالا تشکیل شده است.



فایروال ها و سیستم های IDS/IPS می توانند از این دانش برای افزایش ظرفیت خود برای مقابله با چنین حملات تحلیل شده استفاده کنند. خروجی Honeypot می تواند برای یافتن امضاهای تهدید جدید، آدرس های IP لیست سیاه، ناهنجاری های پروتکل نقشه و غیره استفاده شود. در نتیجه هانی پات یک ابزار تحلیلی و علمی مفید است. برای استخراج تمام ویژگی‌ها از مجموعه داده‌های باج‌افزار، یک اتوماسیون جاوا اجرا می‌شود که ساختار آن را در نظر می‌گیرد. چند ویژگی میزبان و شبکه نیز در نظر گرفته شده است.