KR20050082681A - Honeypot system - Google Patents

Honeypot system Download PDF

Info

Publication number
KR20050082681A
KR20050082681A KR1020040011211A KR20040011211A KR20050082681A KR 20050082681 A KR20050082681 A KR 20050082681A KR 1020040011211 A KR1020040011211 A KR 1020040011211A KR 20040011211 A KR20040011211 A KR 20040011211A KR 20050082681 A KR20050082681 A KR 20050082681A
Authority
KR
South Korea
Prior art keywords
honeypot
system call
files
kernel module
attacker
Prior art date
Application number
KR1020040011211A
Other languages
Korean (ko)
Inventor
김창범
장형규
최영일
노병훈
남현수
조인중
신동민
이준용
이광형
윤현수
Original Assignee
한국과학기술원
(주) 해커스랩
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국과학기술원, (주) 해커스랩 filed Critical 한국과학기술원
Priority to KR1020040011211A priority Critical patent/KR20050082681A/en
Publication of KR20050082681A publication Critical patent/KR20050082681A/en

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1491Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computer And Data Communications (AREA)

Abstract

본 발명은 네트워크 기반의 사이버 공격자 감시 통제 기술에 관한 것으로, 특히 해커를 취약성을 가진 위장 서버로 유도한 뒤 해킹 수법이나 해킹 경로를 관찰해 해커를 역추적하는 보안 솔루션인 허니팟 시스템에 관한 것이다. The present invention relates to a network-based cyber attacker surveillance and control technology, and more particularly, to a honeypot system that is a security solution that traces hackers by guiding hackers to fake servers with vulnerabilities and hacking techniques or hacking paths.

본 발명은 기존의 허니팟에 중요 관리 파일의 자동 복구 기능을 추가함으로써 운영의 비용 절감 및 더 향상된 해킹 기법의 수집에 착안해 만들어졌다. 또한, tty를 이용하지 않는 키로그(keylog) 기록 방법을 채택하여 보다 강력한 키로그 기능을 구현하였다. 그 이외에도 운영에 필요한 파일, 프로세스의 숨김 기능을 덧붙여 보다 안전하게 운영할 수 있도록 하였다. The present invention has been made with the aim of reducing operational costs and collecting more advanced hacking techniques by adding automatic recovery of important management files to existing honeypots. In addition, by adopting a keylog recording method that does not use a tty, a more powerful keylog function is implemented. In addition, it adds the hidden function of files and processes necessary for operation so that it can be operated more safely.

Description

허니팟 시스템 {Honeypot System}Honeypot System {Honeypot System}

본 발명은 네트워크 기반의 사이버 공격자 감시 통제 기술에 관한 것으로, 특히 해커를 취약성을 가진 위장 서버로 유도한 뒤 해킹 수법이나 해킹 경로를 관찰해 해커를 역추적하는 보안 솔루션인 허니팟 시스템에 관한 것이다.The present invention relates to a network-based cyber attacker surveillance and control technology, and more particularly, to a honeypot system that is a security solution that traces hackers by guiding hackers to fake servers with vulnerabilities and hacking techniques or hacking paths.

지금까지 인터넷 사이버 공격에 대한 방어기술은 침입차단기술(Firewall)과, 침입탐지시스템(IDS)기술을 중심으로 발전해왔다. 하지만 많은 Firewall은 어떤 공격을 막아야 할지를 유연하게 대처하지 못하고, 침입 탐지 기술도 새로운 공격방법에 대해서 실시간으로 대처해오지 못했다. 대부분의 IDS가 최신의 침입 패턴을 가지지 못하고 있어 신종 공격에는 무기력한 모습을 보이고 있다. Until now, defense technologies against Internet cyber attacks have been developed based on intrusion prevention technology (Firewall) and intrusion detection system (IDS) technology. Many firewalls, however, do not have the flexibility to respond to which attacks, and intrusion detection techniques have not responded to new attacks in real time. Most IDSs don't have the latest intrusion patterns, making them appear helpless for new attacks.

이러한 단점을 극복하고자, 세계적으로 허니팟(Honeypot) 및 디코이(Decoy) 시스템이 연구되고 있고, 침입자를 감시하고 통제하여 중요 자산을 적극적으로 보호하려고 하고 있다. 하지만 이러한 개발이 단순히 개별적으로 이루어지기보다 상호 보완적인 성격이 강하므로 통합적인 개발이 필요하다. 일명 '꿀단지'라고도 명명된 '허니팟'은 해커를 취약성을 가진 서버로 유도한 뒤 해킹 수법이나 해킹 경로를 관찰해 해커를 역추적하는데 도움을 줄 수 있는 능동적인 보안 솔루션이다 To overcome these shortcomings, Honeypot and Decoy systems are being researched around the world and are actively seeking to protect and protect critical assets by invading and controlling intruders. However, this development is more complementary than simply being done individually, so integrated development is necessary. Honeypot, also known as 'honey pot', is an active security solution that can help hackers trace back to hackers by hacking into vulnerable servers and hacking techniques or hacking paths.

기존의 허니팟들은 해커의 침입을 단순히 원래의 호스트가 아닌 가짜 호스트로 유인하여 거기서 일어나는 해킹 시도들을 모니터링하고, 그 결과를 분석하는 수준에 머물고 있다. 그러므로, 허니팟 관리자는 항상 해킹 시도를 모니터링 할 필요가 있으며, 만약 해킹이 일어났을 경우에 관리자가 해킹된 시스템을 원상태로 복원하지 않는다면 또다른 해커가 허니팟으로 유도되더라도 이미 해킹된 시스템에 대해 새로운 해킹을 시도하지 않을 가능성이 높았다. Existing honeypots attract hackers to fake hosts instead of just the original ones, monitoring the hacking attempts occurring there and analyzing the results. Therefore, the honeypot manager always needs to monitor hacking attempts, and if the hacker does not restore the hacked system to its original state, even if another hacker is directed to the honeypot, a new hack is performed on the already hacked system. Most likely not to try.

한편, 허니팟 모니터링에는 키로그(keylog), 프로세스로그(processlog) 등이 있다. 키로그에 의한 모니터링은 해커가 허니팟에 로그인 할 때 각 셸(shell) 프로세스에 할당된 tty의 문자를 캡쳐하여 로깅(logging)하는 방식을 채택하고 있다. 하지만, 이런 키로그에 의한 모니터링은 해킹이 정상적인 로그인 과정을 거치지 않을 경우에 tty가 셸에 할당되지 않기 때문에 키로그의 기록이 불가능하다. 여기서, tty는 UNIX/Linux 시스템에서 사용자와 시스템과의 통신을 가능케 하는 것으로, 쉽게 말해 키보드의 입력을 시스템으로 전달하는 디바이스의 일종이다.On the other hand, the honeypot monitoring includes a keylog, a processlog, and the like. Keylog monitoring adopts a method in which a hacker captures and logs a character of a tty assigned to each shell process when a hacker logs in to a honeypot. However, such keylog monitoring is impossible to record keylogs because ttys are not assigned to the shell if hacking does not go through a normal login process. Here, tty is a device that communicates with user and system in UNIX / Linux system. It is a kind of device that transmits keyboard input to system easily.

이상 살펴본 바와 같이, 허니팟에 대한 해킹이 발생했는지를 관리자가 24시간 계속 확인한다는 것은 비용면에서 바람직하지 못하며, tty가 지정되지 않을 셸이 발생되었을 경우 tty 캡쳐만으로는 키로그를 남기는 것이 불가능하다. As mentioned above, it is not cost-effective for the administrator to continuously check for hacking of honeypots for 24 hours, and it is impossible to leave a keylog by capturing the tty only when a shell is generated that does not specify a tty.

따라서, 본 발명의 제1 목적은 허니팟에서 해킹이 일어나는 경우에 자동으로 해킹된 시스템을 복구하도록 하는 것이다. Therefore, the first object of the present invention is to automatically recover the hacked system when hacking occurs in the honeypot.

본 발명의 제2 목적은 tty가 없는 백도어(backdoor)의 공격방식에도 대응가능한 셸 기반의 키로그 방식을 제공하는데 있다. It is a second object of the present invention to provide a shell-based keylog method that can cope with an attack method of a backdoor without a tty.

상기 제1 목적은 시스템에 필수적인 중요 파일들을 관리 대상 리스트로 만들어 해당 파일들에 조작이 일어났는지를 커널(kernel) 수준에서 항상 확인하고, 해당 파일의 내용이 변경되었을 경우에 보관하고 있던 원본 파일로 즉시 복구함으로써 달성된다.The first purpose is to make a list of important files essential to the system to be managed, and always check at the kernel level whether manipulation has occurred to the files, and to keep the original files stored when the contents of the files are changed. It is achieved by recovering immediately.

또한, 상기 제2 목적은 시스템의 execve 시스템 콜(system call)을 모니터링하다가 셸이 실행되는 순간에 실행된 셸의 프로세스 ID를 해시 테이블(hash table)에 기록하고, 다음에 read 시스템 콜을 모니터링하다가 해시 테이블에 기록된 프로세스에 대한 스탠다드-인(standard-in)으로 들어오는 키스트로크(keystroke)를 캡쳐하도록 구성함으로써 달성된다. In addition, the second object is to monitor the execve system call (system call) of the system while recording the process ID of the shell executed at the moment the shell is executed in a hash table, and then monitor the read system call This is accomplished by configuring to capture incoming keystrokes standard-in to the process recorded in the hash table.

본 발명에서 핵심적인 역할을 수행하는 허니팟은 보호하고자 하는 시스템과 동일 또는 비슷한 기능을 수행하는 가상의 시스템으로 구성되며, 예를 들어 침입 유도 시스템으로부터 유도된 공격자의 패킷에 대해 서비스를 제공하고 접속한 공격자의 키스트로크 뿐만 아니라 로컬 공격에 대한 시스템 로그를 생성하는 등 공격자의 공격 기술 및 공격도구를 확보한다. 또한, 공격자로부터 피해를 입은 시스템을 자동복구하고, 공격자의 능력을 제한함으로써 공격자가 허니팟을 이용하여 다른 시스템을 공격하는 것을 방지한다. The honeypot, which plays a key role in the present invention, is composed of a virtual system that performs the same or similar function as the system to be protected. For example, the honeypot provides a service and accesses an attacker's packet derived from an intrusion induction system. Secure attacker's attack skills and tools, such as generating system logs of local attacks as well as attacker's keystrokes. In addition, by automatically recovering the system damaged by the attacker, and limiting the attacker's ability to prevent the attacker to attack other systems using the honeypot.

요약하면, 본 발명에서의 허니팟은 다음과 같은 특징들을 가진다.In summary, the honeypot in the present invention has the following features.

1) 공격에 의해 손상된 주요 시스템 파일의 자동/수동 복구.1) Automatic / manual recovery of critical system files damaged by the attack.

2) 리눅스 커널(Linux kernel) 모듈로 해커의 활동을 모니터링.2) Monitor hacker activity with the Linux kernel module.

3) 허니팟 운영을 위한 중요 파일들을 커널 레벨에서 숨겨 루트(root)를 포함한 사용자들에게 보이지 않음.3) Hidden important files for honeypot operation at kernel level, invisible to users including root.

4) 허니팟 로그를 SSL(Secure Sockets Layer) 채널을 이용하여 로그 서버(log server)로 전송.4) Sending honeypot logs to a log server using an SSL (Secure Sockets Layer) channel.

5) 허니팟의 특정 프로세스를 숨길 수 있고, 해당 프로세스의 차일드(child) 프로세스까지 자동으로 숨김.5) You can hide a particular process in the honeypot and automatically hide the child process of that process.

이하 첨부된 도면을 참조하여 본 발명을 상세히 설명하면 다음과 같다.Hereinafter, the present invention will be described in detail with reference to the accompanying drawings.

본 발명의 허니팟 시스템은 서버부분과 관리부분으로 나눌 수 있는데, 서버부분은 실제 보안 솔루션 기술이 구현되고 각종 설정을 위한 인터페이스를 제공하는 부분이고, 관리부분은 서버를 통해 전체적인 보안 상태를 모니터링하고 관리하는 부분이다. 상기 서버부분은 다시 데몬부분과 커널부분으로 나눌 수 있는데, 데몬부분은 관리툴과 교신을 하며 실제 설정들을 바꾸는 역할을 하고, 커널부분은 UI 요청을 처리하고 손상된 리소스를 자동복구하는 부분이다.The honeypot system of the present invention can be divided into a server part and a management part, the server part is a part that implements the actual security solution technology and provides an interface for various settings, and the management part monitors and manages the overall security status through the server. That's the part. The server part can be divided into the daemon part and the kernel part again. The daemon part communicates with the management tool and changes actual settings. The kernel part handles UI requests and automatically recovers damaged resources.

도 1은 본 발명에 따른 허니팟 시스템의 구성도이다. 1 is a block diagram of a honeypot system according to the present invention.

도 1를 참조하면, 본 발명의 허니팟 시스템은 기본적으로 허니팟(100), 저장(Repository) 서버(120), 로그 서버로그(Log) 서버(122), 허니팟 매니저(112)로 구성되어 있다. 해당 시스템들의 기능은 다음과 같다. Referring to FIG. 1, the honeypot system of the present invention basically includes a honeypot 100, a repository server 120, a log server log server 122, and a honeypot manager 112. The functions of the systems are as follows.

(1) 허니팟(100)(1) Honey Pot (100)

허니팟이 속해있는 네트워크에서 유인된 공격자가 실제 공격을 실행하는 호스트이다. 공격자의 공격을 모니터링하고 공격에 의해 수정된 중요 파일들을 복원한다. The attacker who is attracted from the network to which the honeypot belongs is the host that actually executes the attack. Monitor the attacker's attack and restore critical files modified by the attack.

(2) 저장 서버(120)(2) storage server 120

저장 서버는 복원 대상이 되는 중요 파일들의 원본과 수정된 파일들을 보관하여 공격자의 해킹 패턴을 파악하는데 도움을 준다. The storage server keeps the original and modified files of important files to be restored to help identify attackers' hacking patterns.

(3) 로그 서버(122) (3) the log server (122)

로그 서버는 허니팟에서 발생한 로그를 취합, 추후 공격자의 역추적을 가능하게 한다. The log server collects the logs generated from the honeypot and enables the attacker to trace back later.

(4) 허니팟 매니저 (4) Honeypot Manager

일종의 관리툴로서, 허니팟의 관리를 위한 기능을 담당한다. 그 외 허니팟의 정보 및 발생하는 로그들의 실시간 뷰어 기능을 담당한다. As a kind of management tool, it is responsible for the management of honeypots. In addition, it is responsible for the real-time viewer of the honeypot information and generated logs.

이하 본 발명에서 핵심적인 역할을 수행하는 허니팟(100)에 대하여 구체적으로 살펴보면 다음과 같다.Hereinafter, a honey pot 100 that performs a key role in the present invention will be described in detail.

허니팟(100)은 데몬(Daemon)(114), 캐릭터 디바이스(Character device)(116), 및 커널(Kernel) 모듈(118)로 구성되며, 허니팟 로그를 SSL 채널을 이용하여 로그 서버(122)로 전송하게 된다.Honeypot 100 is composed of a daemon (114), a character device (Character device) 116, and a kernel (Kernel) module 118, the honeypot log to the log server 122 using the SSL channel Will be sent.

상기 데몬(114)은 상기 허니팟 매니저(112)와 교신하고 실제 설정들을 바꾸는 역할을 수행한다.The daemon 114 communicates with the honeypot manager 112 and changes actual settings.

상기 커널 모듈(118)은 UI 요청을 처리하고 손상된 자원을 자동복구하는 부분으로, 캐릭터 디바이스 드라이버와 시스템 콜 프로세싱부(도시안됨)를 포함하는데, 상기 캐릭터 디바이스 드라이버는 UI와의 통신을 위해 캐릭터 디바이스의 커맨드 세트(init, cleanup, read, write 등)를 정의하여 실제 UI의 요청을 처리하며, 또한 시스템 콜 프로세싱부는 로깅(logging) 기능을 지원하기 위해 기존의 시스템 콜을 재정의된 시스템 콜로 바꾸고, 침입자의 공격으로 손상된 시스템 자원의 자동 복구를 시행한다.The kernel module 118 processes a UI request and automatically recovers damaged resources. The kernel module 118 includes a character device driver and a system call processing unit (not shown). Define a set of commands (init, cleanup, read, write, etc.) to handle the actual UI requests. Also, the system call processing unit replaces existing system calls with redefined system calls to support logging. Implement automatic recovery of system resources damaged by the attack.

특히, 상기 커널 모듈(118)은 리눅스 커널 모듈로서, 사용자의 키스트로크 캡쳐, 프로세스 실행 감시, 파일 접근 및 변경 감시 등을 위해 아래와 같은 시스템 콜(system call)들을 후킹(hooking)한다.In particular, the kernel module 118 is a Linux kernel module that hooks the following system calls for capturing keystrokes, monitoring process execution, monitoring file access and change, and the like.

(1) read system call : 사용자 키로그 캡쳐.(1) read system call: Capture user keylog.

(2) execve system call : 모든 프로세스 실행 내역을 로깅.(2) execve system call: Log all process execution.

(3) open system call : 중요 파일에 대한 접근 내역을 로깅.(3) open system call: Log access to important files.

(4) write system call : 중요 파일의 변경 내역을 로깅하고 중요 파일 변경시 복원 수행.(4) write system call: Logs the changes made to important files and restores them when important files change.

(5) getdents64, stat64 system call : 숨기고 싶은 파일들을 사용자에게 보이지 않기 위해 사용.(5) getdents64, stat64 system call: used to hide the files you want to hide.

(6) kill system call : 특정 프로세스를 사용자에게서 감추기 위해 사용.Kill system call, used to hide a particular process from the user

(7) fork, clone system call : 감추어진 프로세스에서 파생된 차일드 프로세스를 숨기는데 사용.(7) fork, clone system call: used to hide child processes derived from hidden processes.

상기 캐릭터 디바이스(116)는 데몬(114)과 커널 모듈(118)이 통신하는데 사용된다.The character device 116 is used for the daemon 114 and the kernel module 118 to communicate.

한편, 본 발명에서는 시스템에 필수적인 중요 파일들을 관리 대상 리스트로 만들어 해당 파일들에 대한 조작이 일어났는지를 커널 수준에서 확인하는데, 이러한 기능은 커널 모듈(118)이 담당하고 있으며, 시스템의 execve 시스템 콜을 모니터링하다가 셸이 실행되는 순간에 실행된 셸의 프로세스 ID를 해시 테이블에 기록하고, 다음에 read 시스템 콜을 모니터링하다가 해시 테이블에 기록된 프로세스에 대한 스탠다드-인으로 들어오는 키스트로크를 캡쳐하도록 구성된다.On the other hand, in the present invention, by making a list of important files essential to the system to the management target list to check at the kernel level whether the operation of the files occurred, the kernel module 118 is responsible for this function, the execve system call of the system Is configured to monitor and write the process ID of the executed shell to the hash table the moment it is executed, and then monitor the read system call and capture keystrokes coming into the standard-in for the process written to the hash table. .

본 발명에 따른 허니팟 시스템에서의 시스템 자원 복구(System resource recovery) 절차를 살펴보면, 다음과 같다.A system resource recovery procedure in a honeypot system according to the present invention is as follows.

(1) 사용자는 허니팟 매니저(112)를 통해 보호할 중요 파일들을 지정할 수 있으며, 이 정보는 환경설정(config) 파일에 기록한다.(1) The user can designate important files to be protected through the honeypot manager 112, and this information is recorded in a configuration file.

(2) 커널 모듈(118)은 환경설정 파일에서 중요 파일 리스트를 로딩해서 커널 메모리에 해시 테이블 형태로 보관한다.(2) The kernel module 118 loads a list of important files from the configuration file and stores them in a hash table in kernel memory.

(3) 침입자에 의해 파일 변경이 일어났는지 주기적으로 조사하여 중요 파일이 손상된 경우, 해당 파일이 손상되었음을 더티 플래그(dirty flag)를 설정하여 표시한다.(3) Periodically inspect the file change by the intruder, and if a critical file is damaged, set a dirty flag to indicate that the file is damaged.

(4) 복원될 시스템 자원은 저장 서버에 보관하며, 해당 파일의 내용이 변경되었을 경우에 보관하고 있던 원본 파일로 즉시 복구한다.(4) The system resources to be restored are stored in the storage server, and when the contents of the file are changed, the original file is restored immediately.

이상에서 설명한 본 발명은 전술한 실시예 및 첨부된 도면에 한정되는 것이 아니고, 본 발명의 기술적 사상을 벗어나지 않는 범위 내에서 여러 가지 치환, 변형 및 변경이 가능하다는 것이 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 있어 명백할 것이다.The present invention described above is not limited to the above-described embodiments and the accompanying drawings, and it is common in the art that various substitutions, modifications, and changes can be made without departing from the technical spirit of the present invention. It will be evident to those who have knowledge of.

본 발명에 의하면, 허니팟이 중요 파일들을 자동으로 복구해 줌으로써 허니팟의 관리가 용이하다는 장점을 제공한다. 즉, 해킹이 일어난 허니팟을 자동으로 복구함으로써 24시간 관리가 용이하고, 허니팟이 2차 해킹의 발판이 되는 것을 방지하고, 해킹을 원상태로 복구함으로써 해커로 하여금 더욱 향상된 해킹 기술 사용을 유도할 수 있다.According to the present invention, the honeypot automatically recovers important files, thereby providing an advantage of easy management of the honeypot. In other words, by automatically recovering the hacked honeypot, it is easy to manage 24 hours, prevents the honeypot from becoming the foothold of the second hack, and restores the hack to its original state, thereby inducing the hacker to use the improved hacking technology. .

또한, 강력한 키로그 기능을 제공한다는 장점을 가진다. 즉, tty기반이 아닌 shell기반의 키로그를 제공하므로 tty가 없는 shell에 대한 키로그가 가능하다.It also has the advantage of providing a powerful keylog function. In other words, it provides shell-based keylogs that are not tty-based, so keylogs for shells without ttys are possible.

또한, 다양한 시스템 관리 기능을 제공할 수 있다는 장점을 가지는데, 허니팟을 관리하는데 필요한 프로세스, 실행 파일들을 루트를 포함한 모든 사용자들로부터 완전히 숨길 수 있으므로 시스템의 안전성을 높일 수 있다.In addition, it has the advantage of providing a variety of system management functions, it is possible to completely hide the processes and executable files necessary to manage the honeypot from all users, including root can increase the safety of the system.

도 1은 본 발명에 따른 허니팟 시스템의 구성도이다.1 is a block diagram of a honeypot system according to the present invention.

* 도면의 주요부분에 대한 부호의 설명 *Explanation of symbols on main parts of drawing

100 : 허니팟 112: 허니팟 매니저100: honeypot 112: honeypot manager

114 : 데몬 116 : 캐릭터 디바이스114: daemon 116: character device

118 : 커널 모듈 120 : 저장 서버118: kernel module 120: storage server

122 : 로그 서버122: log server

Claims (11)

공격자의 공격에 대해서 보호 대상 시스템을 가장하여 응답하고, 공격자의 공격을 모니터링하며, 공격에 의해 수정된 중요 파일들을 복구하는 허니팟;A honeypot that simulates and responds to an attacker's attack, monitors an attacker's attack, and recovers critical files modified by the attack; 복구 대상이 되는 중요 파일의 원본과 수정된 파일들을 저장하는 저장 서버; 및A storage server for storing original and modified files of important files to be recovered; And 상기 허니팟에서 발생하는 로그를 취합하여 추후 공격자의 역추적을 가능케하는 로그 서버를 포함하는 것을 특징으로 하는 허니팟 시스템.And a log server that collects the logs generated from the honeypot and enables a trace back of an attacker later. 청구항 1에 있어서, 허니팟 관리, 중요 파일의 관리, 모니터링 로그 보여주기 기능을 담당하는 허니팟 매니저를 더 포함하는 것을 특징으로 하는 허니팟 시스템.The honeypot system according to claim 1, further comprising a honeypot manager for managing honeypots, managing important files, and displaying monitoring logs. 청구항 1 또는 청구항 2에 있어서, 상기 허니팟은,The honeypot according to claim 1 or 2, 상기 허니팟 매니저와 교신하고 실제 설정들을 바꾸는 역할을 수행하는 데몬;A daemon for communicating with the honeypot manager and for changing actual settings; UI 요청을 처리하고 손상된 자원을 자동복구하는 커널 모듈; 및A kernel module that processes UI requests and automatically recovers damaged resources; And 상기 데몬과 커널 모듈이 통신하는데 사용되는 캐릭터 디바이스를 포함하는 것을 특징으로 하는 허니팟 시스템.Honeypot system, characterized in that it comprises a character device that the daemon and the kernel module is used to communicate. 청구항 3에 있어서, 상기 커널 모듈은 리눅스 커널 모듈인 것을 특징으로 하는 허니팟 시스템.4. The honeypot system of claim 3, wherein the kernel module is a Linux kernel module. 청구항 3에 있어서, 상기 커널 모듈은 캐릭터 디바이스 드라이버와 시스템 콜 프로세싱부를 포함하는 것을 특징으로 하는 허니팟 시스템.The honeypot system of claim 3, wherein the kernel module includes a character device driver and a system call processing unit. 청구항 5에 있어서, 상기 캐릭터 디바이스 드라이버는 UI와의 통신을 위해 캐릭터 디바이스의 커맨드 세트를 정의하여 실제 UI의 요청을 처리하는 것을 특징으로 하는 허니팟 시스템.The honeypot system according to claim 5, wherein the character device driver defines a command set of the character device for communication with the UI to process a request of the actual UI. 청구항 5에 있어서, 상기 시스템 콜 프로세싱부는 로깅 기능을 지원하기 위해 기존의 시스템 콜을 재정의된 시스템 콜로 바꾸고, 침입자의 공격으로 손상된 시스템 자원의 자동 복구를 시행하는 것을 특징으로 하는 허니팟 시스템.The honeypot system according to claim 5, wherein the system call processing unit replaces an existing system call with a redefined system call to support a logging function, and performs automatic recovery of system resources damaged by an attacker. 청구항 3에 있어서, 상기 커널 모듈은 사용자의 키스트로크 캡쳐, 프로세스 실행 감시, 파일 접근 및 변경 감시 등을 위해 시스템 콜들을 후킹하는 것을 특징으로 하는 허니팟 시스템.4. The honeypot system of claim 3, wherein the kernel module hooks system calls for keystroke capture, process execution monitoring, file access and change monitoring, and the like. 청구항 7에 있어서, 상기 시스템 콜은 사용자 키로그 캡쳐에 관련한 read 시스템 콜, 모든 프로세스 실행 내역을 로깅하는 execve 시스템 콜, 중요 파일에 대한 접근 내역을 로깅하는 open 시스템 콜, 중요 파일의 변경 내역을 로깅하고 중요 파일 변경시 복원을 수행하는 write 시스템 콜, 숨기고 싶은 파일들을 사용자에게 보이지 않기 위해 사용하는 getdents64, stat64 시스템 콜, 특정 프로세스를 사용자에게서 감추기 위해 사용하는 kill 시스템 콜, 및 감추어진 프로세스에서 파생된 차일드 프로세스를 숨기는데 사용되는 fork, clone 시스템 콜을 포함하는 것을 특징으로 하는 허니팟 시스템.The method of claim 7, wherein the system call logs a read system call related to capturing a user keylog, an execve system call to log all process executions, an open system call to log access to a critical file, and a change history of a critical file. A write system call to perform a restore on critical file changes, a getdents64 system call to hide files you want to hide, a stat64 system call to kill, a kill system call to hide a specific process from the user, and a child derived from a hidden process Honeypot system, including fork, clone system calls used to hide the process. 청구항 3 또는 청구항 8에 있어서, 상기 커널 모듈은 시스템의 execve 시스템 콜을 모니터링하다가 셸이 실행되는 순간에 실행된 셸의 프로세스 ID를 해시 테이블에 기록하고, 다음에 read 시스템 콜을 모니터링하다가 해시 테이블에 기록된 프로세스에 대한 스탠다드-인으로 들어오는 키스트로크를 캡쳐하도록 구성되는 것을 특징으로 하는 허니팟 시스템.The system of claim 3 or 8, wherein the kernel module monitors the system's execve system call and writes the process ID of the shell executed at the moment when the shell is executed to the hash table, and then monitors the read system call and then writes the hash table to the hash table. A honeypot system, characterized in that it is configured to capture incoming keystrokes to standard-in for the recorded process. 청구항 1에 있어서, 상기 허니팟은 허니팟 로그를 SSL 채널을 이용하여 로그 서버로 전송하는 것을 특징으로 하는 허니팟 시스템.The honeypot system according to claim 1, wherein the honeypot transmits a honeypot log to a log server using an SSL channel.
KR1020040011211A 2004-02-20 2004-02-20 Honeypot system KR20050082681A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020040011211A KR20050082681A (en) 2004-02-20 2004-02-20 Honeypot system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020040011211A KR20050082681A (en) 2004-02-20 2004-02-20 Honeypot system

Publications (1)

Publication Number Publication Date
KR20050082681A true KR20050082681A (en) 2005-08-24

Family

ID=37269050

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020040011211A KR20050082681A (en) 2004-02-20 2004-02-20 Honeypot system

Country Status (1)

Country Link
KR (1) KR20050082681A (en)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100853721B1 (en) * 2006-12-21 2008-08-25 주식회사 레드게이트 Method for real-time integrity check and audit trail connected with the security kernel
KR100926456B1 (en) * 2008-04-04 2009-11-13 숭실대학교산학협력단 Apparatus and method for intrusion detection using client terminal, system and method for network security of the same
KR101253613B1 (en) * 2010-12-21 2013-04-11 한국인터넷진흥원 High interaction client honeypot system and its operation method
CN110875904A (en) * 2018-08-31 2020-03-10 阿里巴巴集团控股有限公司 Method for realizing attack processing, honeypot deployment method, honeypot deployment medium and honeypot deployment device
US20200366714A1 (en) * 2016-02-23 2020-11-19 nChain Holdings Limited Reactive and pre-emptive security system for the protection of computer networks & systems

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100853721B1 (en) * 2006-12-21 2008-08-25 주식회사 레드게이트 Method for real-time integrity check and audit trail connected with the security kernel
KR100926456B1 (en) * 2008-04-04 2009-11-13 숭실대학교산학협력단 Apparatus and method for intrusion detection using client terminal, system and method for network security of the same
KR101253613B1 (en) * 2010-12-21 2013-04-11 한국인터넷진흥원 High interaction client honeypot system and its operation method
US20200366714A1 (en) * 2016-02-23 2020-11-19 nChain Holdings Limited Reactive and pre-emptive security system for the protection of computer networks & systems
CN110875904A (en) * 2018-08-31 2020-03-10 阿里巴巴集团控股有限公司 Method for realizing attack processing, honeypot deployment method, honeypot deployment medium and honeypot deployment device

Similar Documents

Publication Publication Date Title
US20220166750A1 (en) System and method for implementing content and network security inside a chip
EP3391274B1 (en) Dual memory introspection for securing multiple network endpoints
JP6382196B2 (en) System and method for providing a secure computing environment
Devi et al. An Appraisal over Intrusion Detection systems in cloud computing security attacks
KR20040101490A (en) Detecting and countering malicious code in enterprise networks
US9245118B2 (en) Methods for identifying key logging activities with a portable device and devices thereof
CN110674496A (en) Method and system for program to counter invading terminal and computer equipment
Carter et al. Intrusion prevention fundamentals
JP6738013B2 (en) Attack content analysis program, attack content analysis method, and attack content analysis device
Sriram et al. A hybrid protocol to secure the cloud from insider threats
KR100518119B1 (en) Secure Solution System based on Network
KR20050082681A (en) Honeypot system
Bu et al. The new era of botnets
CN111680294A (en) Database monitoring method, device and equipment based on high-interaction honeypot technology
Hirata et al. INTERCEPT+: SDN support for live migration-based honeypots
Bedwell Finding a new approach to SIEM to suit the SME environment
Kakareka Detecting system intrusions
WO2020069741A1 (en) Network surveillance system
CN113609483B (en) Method, device, equipment and readable medium for processing server virus
Bakshi et al. Improving threat detection capabilities in windows endpoints with osquery
Hernández-Sysdig SSH-Snake: New Self-Modifying Worm Threatens Networks–Global Security Mag Online
Alhomoud et al. Se/f/-healing Framework for Enterprise networks to combat Botnets infections
Mehresh et al. Deception-based survivability
CA3236693A1 (en) Zero trust file integrity protection
Ahamed et al. Design of A Honeypot based Network Defense System to Counterattack Malwares and Botnet: A Framework Design

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E601 Decision to refuse application